单台服务器能够防止的最大僵尸网络规模是多大
xsser (十根阳具有长短!!) | 2013-12-24 14:37
假设在带宽足够的情况下,一般僵尸网络都是进行的cc攻击,你觉得单台服务器能够抗住的最大僵尸网络规模是多少,方案是什么?
相关讨论:
1#
hacker@sina.cn | 2013-12-24 14:41
带宽足够 拼的就是资源了
2#
xsser (十根阳具有长短!!) | 2013-12-24 14:42
@hacker@sina.cn 也不算拚资源 人家一个ip建立100个链接你还真跟他建立啊 一个iptables直接封了就完事
3#
rayh4c | 2013-12-24 14:43
带宽足够的话,这个你就该问问QA了,性能测试一下并发。
4#
回复此人感谢
xsser (十根阳具有长短!!) | 2013-12-24 14:46
@rayh4c 都说nginx能到4w并发连接,但是前端iptables可以封杀一批啊,所以绝对可以更高,我的想法是iptables能封一批,加上nginx自身能扛一批,大概能到多少量,1w以下问题不大吧?
5#
Mujj (从前,有个主席姓Xi,后来,就再也没有"除Xi夜") | 2013-12-24 14:48
@xsser 扛1W你也太看不起人了。
6#
xsser (十根阳具有长短!!) | 2013-12-24 14:49
@Mujj 多少嘛 你要是搞得多我给你推荐客户买你的IDC
7#
rayh4c | 2013-12-24 14:50
不连数据库,10W并发。
8#
Mujj (从前,有个主席姓Xi,后来,就再也没有"除Xi夜") | 2013-12-24 14:53
@xsser 你说的这个没有任何依据给你说能扛多少啊,起码要看具体的应用架构吧,你真要让我说我说我一个破VPS全静态页扛10W一点问题都没有。
9#
yunshu | 2013-12-24 14:54
这个问题太模糊了,真的是难以回答。我们的服务器,96G内存,24核CPU,跑nginx你说能建立多少连接。但是如果APP写得不好,无缓存全表模糊搜索1000万数据,说不定并发10就挂了。
10#
xsser (十根阳具有长短!!) | 2013-12-24 14:57
@yunshu 不考虑后端app的情况 我是说那种可以识别出特征的僵尸网络 我在iptables和nginx里做策略 能做到抵挡多大的
11#
Mujj (从前,有个主席姓Xi,后来,就再也没有"除Xi夜") | 2013-12-24 14:59
@xsser iptables规则过多会直接宕掉。
12#
RedFree (1:1 1-1-4102 |※(器杀制自) | 2013-12-24 17:36
@Mujj xsser 一直在以一人一机之力对搞CC攻击,能活到现在已经很不容易了。目测那个(或几个)搞CC攻击的人目标不在于是否能打瘫服务器,而在于让xsser天天抗CC抗的折寿,最终英年早逝……(开个玩笑!)
13#
insight-labs (Root Yourself in Success) | 2013-12-24 17:41
可以考虑自己弄个优化或者异步的tcpip stack……
14#
老黑 | 2013-12-24 18:04
@Mujj 求经验分享
15#
livers (如梦似幻) | 2013-12-24 18:17
做过测试,发送get请求小包(<1kb) nginx 页面为标准的(32k)静态页面 系统(8核 16G)nginx 配置进行优(起了八个线程等)化 最多2W并发请求(失败率<5%)。
post 请求100k 则会占满网速 无失败,并发和带宽有关
与mysql 联动,简单查删改询语句省略100字。
与mysql联动 复杂语句 并联 模糊 笛卡尔积 等 省略100字。
16#
WoooYun (看下可以输入多长的字符看下可以输入多长的字符看下可) | 2013-12-24 19:37
单台测试2.5W
17#
雷锋 (一入乌云深似海,从此节操送AV。横批:撸的一手好管) | 2013-12-24 22:58
乌云被D惨了。各种无奈
18#
whirlwind (息壤最大代理商,北京/香港不限内容云服务器,五线BGP/10兆独享/4千兆硬防,备案/可信,QQ493633628,海外服务器请联系Mujj-------------------------------------------------------无损音乐网 http://wusunyinyue.cn----------------------月色仍如昔,江上有归帆!-----------------------------) | 2013-12-24 23:16
首先要内存足够大。。
对了,有没有可能在域名解析的时候,如果是黑名单的IP,就解析到GOV的IP上??
19#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-12-25 10:25
问题比较模糊,很难计算上限,这要看具体情况。
20#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-12-25 10:27
@whirlwind 域名解析的时候,黑名单IP单独解析,这需要DNS网络支持,不过目前DNS服务器貌似没有这一功能。
不过,ISP现在打算联合起来从骨干网清洗流量,从根源上过滤DDOS流量,和DNS解析黑名单机制差不多。
21#
小胖子 (流泪撒种的,必欢呼收割。) | 2013-12-25 10:33
@核攻击 DNS理论上能实现,但是没有一家服务商提供这种服务吧,暂时也没有统一的标准,所以各个NS还是心有余力不足。
22#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-12-25 11:09
@小胖子 是的,现有的DNS服务网络完全可以实现,只需要增加一个黑名单库即可,估计以后会实现统一的标准吧。
23#
yangff | 2013-12-25 14:49
@核攻击 这样打到的都是用户吧…… 用户的举报信会让电信疯了的吧。。
24#
齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-12-25 17:53
@核攻击 这个360不是就做了吗?
25#
蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2013-12-25 20:05
很难有个准数的,和应用性能,服务器性能,攻击方式都有关系。
如果想得到准确的数字,最好直接弄个模拟环境来进行测试。。然后针对其瓶颈进行扩容。
26#
蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2013-12-25 20:10
@齐迹 说的是DNS,不是CDN。。@小胖子 DNS也不好实现,首先,dns本身有很强的cache性能,其二,每个客户机都是使用的各地网络自身提供的dns节点。比如四川省电信的dns服务器,就那么两个IP。如果按你说的做,所有的DNS服务器都需要一个统一的数据接口标准。
27#
Mujj (从前,有个主席姓Xi,后来,就再也没有"除Xi夜") | 2013-12-25 20:26
@蟋蟀哥哥 @核攻击 @小胖子 CF的DNS有类似的功能,有黑名单库,但不是在DNS上,因为这玩意涉及到DNS缓存,他们是在前端上做验证码实现的。