nginx网卡驱动cc防火墙更新至3.0版本，新增防御慢速Web攻击等

diocat

C大屌 发表于 2023-6-12 16:28
CC攻击是会消耗宽带的，光靠nginx js验证硬抗cc 如果cc量非常大会导致cpu 100% ，所以这时候就需要nginx ...

100m的带宽，单核处理是没有问题的，想想看还有哪里在吃性能

比如，最常见的conntrack

iptables -t raw -A PREROUTING -p tcp --dport 80 -m set --match-set blacklist src -j DROP

C大屌

diocat 发表于 2023-6-12 16:37
100m的带宽，单核处理是没有问题的，想想看还有哪里在吃性能

比如，最常见的conntrack

其实性能瓶颈在于内核，不是处理不行。有内核瓶颈，无论怎么处理都不行。 像dpdk内核旁路技术因为绕过了内核直接跳到用户层收包发包就没有这个瓶颈。 因为dpdk需要硬件网卡的支持，所以我们选择了xdp/ebpf驱动过滤数据包 他和dpdk类似 且无需硬件支持。

C大屌

920c 发表于 2023-6-12 16:32
你的那些不是全部开源的呢？

目前不打算开源

路易的路

C大屌 发表于 2023-6-12 16:42
其实性能瓶颈在于内核，不是处理不行。有内核瓶颈，无论怎么处理都不行。 像dpdk内核旁路技术因为绕过了 ...

只是防CC，其实性能瓶颈不在封锁。七层的包数量再多其实也没多少，iptable完全足够，真正在消耗资源的部分其实是在应用层的检测和识别，而不是四层阻挡。
至于你说的XDP，那东西实际上是为了阻挡layer3/4 ，到了L7其实意义不大

C大屌

路易的路 发表于 2023-6-12 20:16
只是防CC，其实性能瓶颈不在封锁。七层的包数量再多其实也没多少，iptable完全足够，真正在消耗资源的部 ...

一直都是nginx检测cc攻击 然后调用xdp驱动防火墙拉黑ip丢弃流量，事实证明Netfilter和iptable我们都试过性能远不如xdp驱动拉黑ip丢弃流量  可以谷歌或者百度 都是有事实证明的。

就如docker的端口一样 用Netfilter和iptable是屏蔽不掉的，因为docker位于Netfilter和iptable能够处理的网络层之前。但是xdp驱动防火墙是可以做到的 xdp是位于网卡接口处 任何流量都需要先经过xdp驱动筛选在下放至底层网络层去，所以xdp效率更高。