Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 14035|回复: 6

Panabit 能否阻止 syn-flood?

[复制链接]
发表于 2007-8-28 23:44:54 | 显示全部楼层 |阅读模式
现在我用 Linux 做 NAT,发现如果内网有人攻击的话,由于 Linux 本身 conntrack 效率低下的问题,会导致大量无用源地址强行插入 hash 表,造成 CPU 过高甚至系统假死
不知道跑在 FreeBSD 上的 Panabit 能否承受住这种 syn-flood?另外一点就是它是否有自身对 syn-flood 过滤的功能?
发表于 2007-8-28 23:45:59 | 显示全部楼层
原帖由 netmaster 于 2007-8-28 23:44 发表
现在我用 Linux 做 NAT,发现如果内网有人攻击的话,由于 Linux 本身 conntrack 效率低下的问题,会导致大量无用源地址强行插入 hash 表,造成 CPU 过高甚至系统假死
不知道跑在 FreeBSD 上的 Panabit 能否承受 ...


Panabit自身对syn-flood有免疫能力,但是它不能保护别的主机不被syn-flood伤害。
 楼主| 发表于 2007-8-28 23:47:19 | 显示全部楼层
你们可以把这个也加进去啊,这样大家就有福音了!
发表于 2007-8-28 23:48:38 | 显示全部楼层
原帖由 panabit 于 2007-8-28 23:45 发表


Panabit自身对syn-flood有免疫能力,但是它不能保护别的主机不被syn-flood伤害。


另外,Panabit所采取的连接管理表同一般的hash表不太一样,它可以在4倍冲突的情况下保持查找性能不变。
当然,如果5倍以上的冲突,就会性能降低,但是这种情况比较少见,除非是特别大的DDOS攻击。
 楼主| 发表于 2007-8-28 23:53:08 | 显示全部楼层
晕,这个就不懂了呵呵,我也是只知道些皮毛而已……
发表于 2007-8-28 23:54:23 | 显示全部楼层
原帖由 netmaster 于 2007-8-28 23:47 发表
你们可以把这个也加进去啊,这样大家就有福音了!


这个不是我们的重点,我们必须先将我们自己的事情做好。
我们还有很多需要做的feature。
syn-flood交给防火墙做比较合适,最有效的途径是syn-proxy + syn-cookie,除此之外,别无它法!
所有号称使用其他方法的,都是一种噱头。
 楼主| 发表于 2007-8-29 00:04:05 | 显示全部楼层
发现 panabit 说得太专业了很多都听不懂,应该是开发者之一吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-24 07:10 , Processed in 0.069108 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表