藏起来的小尾巴,不让你看!
作者: C大屌 时间: 2023-6-11 08:09
飘云 发表于 2023-6-11 08:08
宝塔可以安装么
可以,项目地址https://github.com/dafeiyun/dafeiyun_nginx_firewall,里面有安装视频教程
作者: [MJJ] 时间: 2023-6-11 08:46
干货 支持 点赞
作者: canxunhulian 时间: 2023-6-11 08:49
我先观望一波 真有这么牛必火
作者: biezhi 时间: 2023-6-11 09:10
有没有原生安装的配置
作者: C大屌 时间: 2023-6-11 09:19
biezhi 发表于 2023-6-11 09:10
有没有原生安装的配置
不安装宝塔,直接把我们nginx二进制文件放到/www/server/nginx/sbin/目录运行就可以了
作者: llcn168 时间: 2023-6-11 09:26
这个支持一下,希望能防住。
作者: raycole 时间: 2023-6-11 09:26
宝塔可以安装么
作者: jiao1396009596 时间: 2023-6-11 10:06
有没有大佬弄个一键脚本
作者: 美女约吗 时间: 2023-6-11 10:15
提示: 作者被禁止或删除 内容自动屏蔽
作者: 腾讯云6折购 时间: 2023-6-11 10:16
docker怎么装
作者: 晴空 时间: 2023-6-11 10:27
宝塔怎么装
作者: silence 时间: 2023-6-11 10:42
能开源了再放github上面吗。
作者: 苍蝇也是肉捏 时间: 2023-6-11 10:45
绑定绑定
作者: netboy 时间: 2023-6-11 10:46
这个支持一下,希望能防住。
作者: squalll 时间: 2023-6-11 10:47
驱动级防火墙。。。
作者: 88170351 时间: 2023-6-11 12:13
太猛了, 支持
作者: C大屌 时间: 2023-6-11 16:06
腾讯云6折购 发表于 2023-6-11 10:16
docker怎么装
不建议docker,无法发挥防火墙最大性能
作者: nieyuli 时间: 2023-6-11 17:21
同求一键脚本。
作者: C大屌 时间: 2023-6-11 20:00
raycole 发表于 2023-6-11 09:26
宝塔可以安装么
可以,
项目地址https://github.com/dafeiyun/dafeiyun_nginx_firewall,里面有安装视频教程
作者: C大屌 时间: 2023-6-11 22:03
晴空 发表于 2023-6-11 10:27
宝塔怎么装
项目地址https://github.com/dafeiyun/dafeiyun_nginx_firewall,里面有安装视频教程
作者: zhongziso 时间: 2023-6-11 23:00
感谢分享
作者: 腾讯云6折购 时间: 2023-6-11 23:29
C大屌 发表于 2023-6-11 16:06
不建议docker,无法发挥防火墙最大性能
我就要docker
作者: diocat 时间: 2023-6-12 10:22
1000万确定网卡带宽没被打爆?
作者: yexin 时间: 2023-6-12 10:25
6666 mark一下
作者: yanshao 时间: 2023-6-12 12:59
mark
作者: fanlao 时间: 2023-6-12 15:14
没有apache差评
作者: C大屌 时间: 2023-6-12 15:35
本帖最后由 C大屌 于 2023-6-12 15:39 编辑
diocat 发表于 2023-6-12 10:22
1000万确定网卡带宽没被打爆?
CC攻击和第七层攻击的话不会,都是有科学依据的。
可以参考cloudflare这篇文章https://blog.cloudflare.com/zh-cn/how-to-drop-10-million-packets-zh-cn/
阶段8. XDP_DROP ,哇哦!使用XDP,我们可以在单核CPU上每秒丢弃1000万个数据包。
XDP驱动丢弃数据包可以达到线速,且流量刚刚到达Linux网卡时就可以丢弃数据包 所以性能奇高 因为流量在到达内核之前就被丢弃了 所以不会消耗大量内存和cpu。
我们驱动防火墙就是采用的这种技术。
作者: diocat 时间: 2023-6-12 15:44
本帖最后由 diocat 于 2023-6-12 15:48 编辑
C大屌 发表于 2023-6-12 15:35
CC攻击和第七层攻击的话不会,都是有科学依据的。
可以参考cloudflare这篇文章https://blog.cloudflare.c ...
人家cf那是几十G上百G的光口,你这100m下行 1G电口 不是来搞笑的吗
作者: C大屌 时间: 2023-6-12 15:54
本帖最后由 C大屌 于 2023-6-12 15:59 编辑
diocat 发表于 2023-6-12 15:44
人家cf那是几十G上百G的光口,你这100m下行 1G电口 不是来搞笑的吗
你连协议层都没有搞懂,1000万数据包约等于100M宽带 很多吗
第七层攻击 无论攻击大小多少只要把包给丢弃了 服务器是没有一点点影响的
就好比你把服务器80端口关闭 然后去发起对80端口第七层攻击 服务器是没有任何影响的
作者: diocat 时间: 2023-6-12 15:58
C大屌 发表于 2023-6-12 15:54
你连协议层都没有搞懂,1000万数据包约等于100M宽带 很多吗
我笑了,那好,请问你这1000万数据包约等于100M带宽是如何得出的,写一下计算公式
作者: C大屌 时间: 2023-6-12 16:04
diocat 发表于 2023-6-12 15:58
我笑了,那好,请问你这1000万数据包约等于100M带宽是如何得出的,写一下计算公式 ...
稍微有宽带常识的都懂。 100M宽带每秒12.5/M
作者: diocat 时间: 2023-6-12 16:05
C大屌 发表于 2023-6-12 15:54
你连协议层都没有搞懂,1000万数据包约等于100M宽带 很多吗
第七层攻击 无论攻击大小多少只要把包给丢弃 ...
你这句话就有点自相矛盾了,你一直在鼓吹你的防御能每秒丢弃多少多少包,高效的丢弃那些攻击数据包,但是你说的cc攻击本身就不吃流量,不吃流量的东西压根不需要动用内核层的函数去丢弃,随便一个防火墙策略就能丢个干净。你讲的那些高效丢弃都是面对ddos这类,但是无论你的内核丢弃多高效,流量到达你的1G电口网卡网卡就已经报废了,根本用不着进内核,纸上谈兵。
作者: diocat 时间: 2023-6-12 16:08
C大屌 发表于 2023-6-12 16:04
稍微有宽带常识的都懂。 100M宽带每秒12.5/M
人家那是10million pkt/s,亲
我来帮你算算好吗
以太网最小帧64字节,10000000*64字节=640000000字节
640000000 / 1024 = 625000 Kb
625000 / 1024 = 610.3515625 Mb
610Mb每秒的流量,换算成MBit就是4880MBit/s
将近5G的流量,多学学吧
作者: C大屌 时间: 2023-6-12 16:14
diocat 发表于 2023-6-12 16:08
人家那是10million pkt/s,亲
我来帮你算算好吗
以太网最小帧64字节,10000000*64字节=640000000字节
嗯,你说的是对的 那里是我看错了。
作者: diocat 时间: 2023-6-12 16:25
C大屌 发表于 2023-6-12 16:14
嗯,你说的是对的 那里是我看错了。
我说话也有点很急,你别太在意
做出一个有利于公众的东西就是好事,无论项目是大是小,都是贡献。开源项目本身就是在无数人的螺丝钉堆里,每个人都去加一份自己的零件,最后变成一个巴黎铁塔。
不是每个人都懂dd cc waf kernel iptables这些原理,你的项目把这些都整合起来做成一键形式,易于他们使用。
我提点建议,我个人的看法:
1、内核空间你已经写过了,里面几乎没有方便的写法,这会极大的制约你的发展空间,即使可以用很复杂的写法去实现功能,也会极大的增加你的维护成本,在不需要性能的地方,要去做“方便和性能”之间的均衡。例如编程语言有多种多样,有些低效但是很方便,不会是高效的c一统江山。
2、看看主流的waf是怎么设计的,站在巨人的肩膀上,一览众山小。
作者: C大屌 时间: 2023-6-12 16:28
本帖最后由 C大屌 于 2023-6-12 16:33 编辑
diocat 发表于 2023-6-12 16:05
你这句话就有点自相矛盾了,你一直在鼓吹你的防御能每秒丢弃多少多少包,高效的丢弃那些攻击数据包,但是 ...
CC攻击是会消耗宽带的,光靠nginx js验证硬抗cc 如果cc量非常大会导致cpu 100% ,所以这时候就需要nginx识别发起cc攻击的ip 然后调用系统防火墙屏蔽处理。 Netfilter和iptable我们都试过 CC量非常大情况下会出问题,所以我们使用驱动拉黑丢弃ip流量。 就是这么简单
因为Netfilter和iptable拉黑ip处理数据包的位置比较靠后,cc量非常大 攻击ip非常多 Netfilter和iptable处理会消耗大量cpu 或者崩溃掉给内核造成巨大压力
作者: 燕十三丶 时间: 2023-6-12 16:31
不错 好人一生平安
作者: 920c 时间: 2023-6-12 16:32
你的那些不是全部开源的呢?
作者: diocat 时间: 2023-6-12 16:37
C大屌 发表于 2023-6-12 16:28
CC攻击是会消耗宽带的,光靠nginx js验证硬抗cc 如果cc量非常大会导致cpu 100% ,所以这时候就需要nginx ...
100m的带宽,单核处理是没有问题的,想想看还有哪里在吃性能
比如,最常见的conntrack
iptables -t raw -A PREROUTING -p tcp --dport 80 -m set --match-set blacklist src -j DROP
作者: C大屌 时间: 2023-6-12 16:42
本帖最后由 C大屌 于 2023-6-12 16:43 编辑
diocat 发表于 2023-6-12 16:37
100m的带宽,单核处理是没有问题的,想想看还有哪里在吃性能
比如,最常见的conntrack
其实性能瓶颈在于内核,不是处理不行。有内核瓶颈,无论怎么处理都不行。 像dpdk内核旁路技术因为绕过了内核直接跳到用户层收包发包就没有这个瓶颈。 因为dpdk需要硬件网卡的支持,所以我们选择了xdp/ebpf驱动过滤数据包 他和dpdk类似 且无需硬件支持。
作者: C大屌 时间: 2023-6-12 19:57
920c 发表于 2023-6-12 16:32
你的那些不是全部开源的呢?
目前不打算开源
作者: 路易的路 时间: 2023-6-12 20:16
本帖最后由 路易的路 于 2023-6-12 20:18 编辑
C大屌 发表于 2023-6-12 16:42
其实性能瓶颈在于内核,不是处理不行。有内核瓶颈,无论怎么处理都不行。 像dpdk内核旁路技术因为绕过了 ...
只是防CC,其实性能瓶颈不在封锁。七层的包数量再多其实也没多少,iptable完全足够,真正在消耗资源的部分其实是在应用层的检测和识别,而不是四层阻挡。
至于你说的XDP,那东西实际上是为了阻挡layer3/4 ,到了L7其实意义不大
作者: C大屌 时间: 2023-6-12 20:28
本帖最后由 C大屌 于 2023-6-12 20:47 编辑
路易的路 发表于 2023-6-12 20:16
只是防CC,其实性能瓶颈不在封锁。七层的包数量再多其实也没多少,iptable完全足够,真正在消耗资源的部 ...
一直都是nginx检测cc攻击 然后调用xdp驱动防火墙拉黑ip丢弃流量,事实证明Netfilter和iptable我们都试过性能远不如xdp驱动拉黑ip丢弃流量 可以谷歌或者百度 都是有事实证明的。
就如docker的端口一样 用Netfilter和iptable是屏蔽不掉的,因为docker位于Netfilter和iptable能够处理的网络层之前。但是xdp驱动防火墙是可以做到的 xdp是位于网卡接口处 任何流量都需要先经过xdp驱动筛选在下放至底层网络层去,所以xdp效率更高。
| 欢迎光临 全球主机交流论坛 (https://443502.xyz/) | Powered by Discuz! X3.4 |