设为首页收藏本站
切换到宽版

全球主机交流论坛

用户名  找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 nginx网卡驱动cc防火墙更新至3.0版本,新增防御慢速Web ...
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
12345下一页
返回列表 发新帖
查看: 11269|回复: 44

[nginx] nginx网卡驱动cc防火墙更新至3.0版本,新增防御慢速Web攻击等

  [复制链接]
C大屌
发表于 2023-6-11 07:34:30 | 显示全部楼层 |阅读模式
本帖最后由 C大屌 于 2023-6-11 08:15 编辑

继续接上次帖子https://hostloc.com/thread-1167500-1-1.html

项目地址是https://github.com/dafeiyun/dafeiyun_nginx_firewall

nginx网卡驱动防火墙可以实现CC攻击来多少封多少 不消耗任何服务器宽带和CPU资源,达到无视任何CC攻击效果,nginx网卡驱动防火墙还可以以硬件模式运行(需要硬件网卡型号支持) 直接从硬件网卡中丢弃数据包和流量 效率非常高。

与传统的nginx waf不同,传统的nginx waf防火墙遇到大cc攻击直接服务器cpu和宽带爆炸,我们的nginx驱动防火墙有cc攻击吞噬效果 可以吞噬cc攻击 让cc攻击带来的cpu和宽带消耗变成0

这次新增了许多意想不到的功能如下:

3.0版本更新如下

1,新增了Linux网卡驱动防火墙可以直接从网卡接口处拉黑IP丢弃流量,让cc攻击带来的宽带和cpu消耗变成0 ,给系统带来0损耗不消耗任何宽带和CPU性能,网卡驱动级引擎防火墙效率远超iptables等Linux系统防火墙,可以在流量还没有到达内核之前直接用驱动在网卡里就可以处理数据包流量 单核CPU每秒可以处理超过1000万个数据包。

2,魔改了nginx核心源代码,添加了可以防御慢速web端口攻击,防御ssl握手攻击,防御异型web包攻击,防御400异型包攻击等功能

3,新增自动开启关闭CC防御 可以配置网站502出现的次数或者网站每秒超过多少次访问自动开启CC防御JS验证多少分钟 然后自动关闭CC防御JS验证循环

实测物理服务器E3-1230V2 100M宽带可以实现无视CC效果!

支持http和https防御 可以自动解密https ssl证书防御。


Telegram群: @dfy888  有什么问题都可以来群里面交流

回复

举报

920c
发表于 2023-6-12 16:32:08 | 显示全部楼层
你的那些不是全部开源的呢?
回复 支持 1 反对 0

举报

diocat
发表于 2023-6-12 16:25:06 | 显示全部楼层
C大屌 发表于 2023-6-12 16:14
嗯,你说的是对的  那里是我看错了。

我说话也有点很急,你别太在意

做出一个有利于公众的东西就是好事,无论项目是大是小,都是贡献。开源项目本身就是在无数人的螺丝钉堆里,每个人都去加一份自己的零件,最后变成一个巴黎铁塔。

不是每个人都懂dd cc waf kernel iptables这些原理,你的项目把这些都整合起来做成一键形式,易于他们使用。

我提点建议,我个人的看法:
1、内核空间你已经写过了,里面几乎没有方便的写法,这会极大的制约你的发展空间,即使可以用很复杂的写法去实现功能,也会极大的增加你的维护成本,在不需要性能的地方,要去做“方便和性能”之间的均衡。例如编程语言有多种多样,有些低效但是很方便,不会是高效的c一统江山。
2、看看主流的waf是怎么设计的,站在巨人的肩膀上,一览众山小。
回复 支持 1 反对 0

举报

diocat
发表于 2023-6-12 16:08:32 | 显示全部楼层
C大屌 发表于 2023-6-12 16:04
稍微有宽带常识的都懂。 100M宽带每秒12.5/M


人家那是10million pkt/s,亲
我来帮你算算好吗
以太网最小帧64字节,10000000*64字节=640000000字节
640000000 / 1024 = 625000 Kb
625000 / 1024 = 610.3515625 Mb
610Mb每秒的流量,换算成MBit就是4880MBit/s
将近5G的流量,多学学吧
回复 支持 1 反对 0

举报

diocat
发表于 2023-6-12 16:05:06 | 显示全部楼层
C大屌 发表于 2023-6-12 15:54
你连协议层都没有搞懂,1000万数据包约等于100M宽带 很多吗

第七层攻击 无论攻击大小多少只要把包给丢弃 ...


你这句话就有点自相矛盾了,你一直在鼓吹你的防御能每秒丢弃多少多少包,高效的丢弃那些攻击数据包,但是你说的cc攻击本身就不吃流量,不吃流量的东西压根不需要动用内核层的函数去丢弃,随便一个防火墙策略就能丢个干净。你讲的那些高效丢弃都是面对ddos这类,但是无论你的内核丢弃多高效,流量到达你的1G电口网卡网卡就已经报废了,根本用不着进内核,纸上谈兵。
回复 支持 1 反对 0

举报

diocat
发表于 2023-6-12 15:44:58 | 显示全部楼层
本帖最后由 diocat 于 2023-6-12 15:48 编辑
C大屌 发表于 2023-6-12 15:35
CC攻击和第七层攻击的话不会,都是有科学依据的。
可以参考cloudflare这篇文章https://blog.cloudflare.c ...


人家cf那是几十G上百G的光口,你这100m下行 1G电口 不是来搞笑的吗
回复 支持 1 反对 0

举报

diocat
发表于 2023-6-12 10:22:50 | 显示全部楼层
1000万确定网卡带宽没被打爆?
回复 支持 1 反对 0

举报

飘云
发表于 2023-6-11 08:08:45 | 显示全部楼层
宝塔可以安装么



                                            藏起来的小尾巴,不让你看!  
    回复 支持 反对

    举报

    C大屌
     楼主| 发表于 2023-6-11 08:09:38 | 显示全部楼层
    飘云 发表于 2023-6-11 08:08
    宝塔可以安装么

    可以,项目地址https://github.com/dafeiyun/dafeiyun_nginx_firewall,里面有安装视频教程
    回复 支持 反对

    举报

    [MJJ]
    发表于 2023-6-11 08:46:41 | 显示全部楼层
    干货 支持 点赞
    回复 支持 反对

    举报

    canxunhulian
    发表于 2023-6-11 08:49:55 | 显示全部楼层
    我先观望一波  真有这么牛必火
    回复 支持 反对

    举报

    biezhi
    发表于 2023-6-11 09:10:37 | 显示全部楼层
    有没有原生安装的配置
    回复 支持 反对

    举报

    C大屌
     楼主| 发表于 2023-6-11 09:19:04 | 显示全部楼层
    biezhi 发表于 2023-6-11 09:10
    有没有原生安装的配置

    不安装宝塔,直接把我们nginx二进制文件放到/www/server/nginx/sbin/目录运行就可以了
    回复 支持 反对

    举报

    llcn168
    发表于 2023-6-11 09:26:44 | 显示全部楼层
    这个支持一下,希望能防住。
    回复 支持 反对

    举报

    raycole
    发表于 2023-6-11 09:26:56 来自手机 | 显示全部楼层
    宝塔可以安装么
    回复 支持 反对

    举报

    jiao1396009596
    发表于 2023-6-11 10:06:46 | 显示全部楼层
    有没有大佬弄个一键脚本
    回复 支持 反对

    举报

    下一页 »
    12345下一页
    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    Archiver|手机版|小黑屋|全球主机交流论坛

    GMT+8, 2025-4-3 02:10 , Processed in 0.073906 second(s), 10 queries , Gzip On, MemCache On.

    Powered by Discuz! X3.4

    © 2001-2023 Discuz! Team.

    快速回复 返回顶部 返回列表