nginx网卡驱动cc防火墙更新至3.0版本，新增防御慢速Web攻击等

C大屌

diocat 发表于 2023-6-12 15:44
人家cf那是几十G上百G的光口，你这100m下行 1G电口 不是来搞笑的吗

你连协议层都没有搞懂，1000万数据包约等于100M宽带 很多吗

第七层攻击 无论攻击大小多少只要把包给丢弃了 服务器是没有一点点影响的

就好比你把服务器80端口关闭 然后去发起对80端口第七层攻击 服务器是没有任何影响的

diocat

C大屌 发表于 2023-6-12 15:54
你连协议层都没有搞懂，1000万数据包约等于100M宽带 很多吗

我笑了，那好，请问你这1000万数据包约等于100M带宽是如何得出的，写一下计算公式

C大屌

diocat 发表于 2023-6-12 15:58
我笑了，那好，请问你这1000万数据包约等于100M带宽是如何得出的，写一下计算公式 ...

稍微有宽带常识的都懂。 100M宽带每秒12.5/M

diocat

C大屌 发表于 2023-6-12 15:54
你连协议层都没有搞懂，1000万数据包约等于100M宽带 很多吗

第七层攻击 无论攻击大小多少只要把包给丢弃 ...

你这句话就有点自相矛盾了，你一直在鼓吹你的防御能每秒丢弃多少多少包，高效的丢弃那些攻击数据包，但是你说的cc攻击本身就不吃流量，不吃流量的东西压根不需要动用内核层的函数去丢弃，随便一个防火墙策略就能丢个干净。你讲的那些高效丢弃都是面对ddos这类，但是无论你的内核丢弃多高效，流量到达你的1G电口网卡网卡就已经报废了，根本用不着进内核，纸上谈兵。

diocat

C大屌 发表于 2023-6-12 16:04
稍微有宽带常识的都懂。 100M宽带每秒12.5/M

人家那是10million pkt/s，亲
我来帮你算算好吗
以太网最小帧64字节，10000000*64字节=640000000字节
640000000 / 1024 = 625000 Kb
625000 / 1024 = 610.3515625 Mb
610Mb每秒的流量，换算成MBit就是4880MBit/s
将近5G的流量，多学学吧

C大屌

diocat 发表于 2023-6-12 16:08
人家那是10million pkt/s，亲
我来帮你算算好吗
以太网最小帧64字节，10000000*64字节=640000000字节

嗯，你说的是对的  那里是我看错了。

diocat

C大屌 发表于 2023-6-12 16:14
嗯，你说的是对的  那里是我看错了。

我说话也有点很急，你别太在意

做出一个有利于公众的东西就是好事，无论项目是大是小，都是贡献。开源项目本身就是在无数人的螺丝钉堆里，每个人都去加一份自己的零件，最后变成一个巴黎铁塔。

不是每个人都懂dd cc waf kernel iptables这些原理，你的项目把这些都整合起来做成一键形式，易于他们使用。

我提点建议，我个人的看法:
1、内核空间你已经写过了，里面几乎没有方便的写法，这会极大的制约你的发展空间，即使可以用很复杂的写法去实现功能，也会极大的增加你的维护成本，在不需要性能的地方，要去做“方便和性能”之间的均衡。例如编程语言有多种多样，有些低效但是很方便，不会是高效的c一统江山。
2、看看主流的waf是怎么设计的，站在巨人的肩膀上，一览众山小。

C大屌

diocat 发表于 2023-6-12 16:05
你这句话就有点自相矛盾了，你一直在鼓吹你的防御能每秒丢弃多少多少包，高效的丢弃那些攻击数据包，但是 ...

CC攻击是会消耗宽带的，光靠nginx js验证硬抗cc 如果cc量非常大会导致cpu 100% ，所以这时候就需要nginx识别发起cc攻击的ip 然后调用系统防火墙屏蔽处理。 Netfilter和iptable我们都试过 CC量非常大情况下会出问题，所以我们使用驱动拉黑丢弃ip流量。 就是这么简单

因为Netfilter和iptable拉黑ip处理数据包的位置比较靠后，cc量非常大 攻击ip非常多 Netfilter和iptable处理会消耗大量cpu 或者崩溃掉给内核造成巨大压力

燕十三丶

不错 好人一生平安

920c

你的那些不是全部开源的呢？