安全是有分量的

香港ddos防御_防御cc盾_无限

2022-01-13 17:00栏目:资讯

香港ddos防御_防御cc盾_无限

简介

我们正在寻找一个快速的第三层交换机,我的意思是非常快。它不仅应该能够以10GbE线速率交换帧,而且还应该能够以线速率路由数据包(从一个接口到另一个接口)。使用最小的IP数据包(84字节),意味着我们可以每秒发送大约14'880'955次来填充10GbE管道。

这就是问题所在,大多数企业级交换机能够从固定的源/目的地以线速率路由(例如"简单"的文件传输),高防cdn高盾效果最好,但是当我们随机化目的地地址并将数据包大小减小到最小时,它们就会消亡。

几个月前我们听说Arista,我们知道它们专门用于线速率交换。我们就我们的问题交换了几封电子邮件,以找到一个能满足我们要求的交换机,有效的ddos防御方案有哪些,他们好心地建议借给我们一个交换机,为期一个月。我们对我们基准测试的交换机的强大功能、提供的功能以及他们产品的开放性印象深刻。我将在这里描述我从他们那里学到的很酷的东西。

我是如何进行测试的

基本上是将一台计算机(带有一个SFP+SR的10GbE卡)放入交换机后面的一个VLAN(10GbE端口SFP+SR),生成带有随机目标地址的数据包。同一交换机后面的另一台计算机(10GbE端口SFP+SR)接入另一个VLAN。第二台计算机(带有一个SFP+SR的10GbE卡)是交换机的默认网关,交换机是第一台计算机的默认网关。因此,当第一台计算机生成数据包时,它将数据包发送到交换机,交换机将数据包路由到第二台计算机,我们有我们的设置。

[PC1 10GbE SFP+][VLAN1]交换机[VLAN2][PC2 10GbE SFP+]

从纸面上看似乎很简单,但如果数据包需要在Linux网络堆栈中构建,生成数据包会消耗大量CPU,使用像样的Xeon处理器很难达到100万pps。同样的问题在接收机器上,每次接收到一个数据包时,它都会生成一个IRQ,由内核处理。它提供了一种使用特殊驱动程序直接与网卡通话的方法。当然,标准的userland应用程序将不再工作。我用的是Masscan,它是一个IP端口扫描器,可以使用pfu环驱动程序随机选择目标IP/端口,这是我在发送机器上使用的。在接收机器上,我使用名为pf_count的pf_ring内置应用程序来计算接收到的数据包的数量。

结果令人印象深刻,交换机可以毫无问题地处理负载,由于路由/交换是在硬件上进行的(使用ASIC),CPU一直处于空闲状态。

内核中的Linux

Arista Switchs的核心运行Linux,我的意思是,它不像大多数其他嵌入式设备那样是一个带有接口的精简版本,而是一个完整的x86操作系统。Redhat是他们选择的发行版。默认情况下,当您第一次连接到交换机时,您将被放到CLI(命令行界面)中,您可以发出一个简单的"bash"命令,然后您将被放到一个shell中,然后是一个简单的"sudo",您就是root!很酷吧?据我所知,没有限制,你可以调整/安装你想在它上面。

EOS(可扩展操作系统)

阿里斯塔提供了思科一样的CLI,当我说"思科一样",我的意思是它的95%相同的命令+许多改进。EOS位于Linux发行版之上,操作系统和CLI之间的链接非常紧密,您可以轻松地从一个命令切换或组合到另一个命令。例如,您可以从CLI(#show running config | grep"your keyword")中"grep"结果,或将输出重定向到操作系统(#show interface 43>/mount/flash/interface_43.out)。

EOS是"可扩展的",意味着您可以向设备添加新功能。由于它是一个基于Redhat的操作系统,包管理是用RPMs实现的。Arista提供了一个开发人员可以添加扩展的地方,名为EOS central.

CLI是用python编写的,如果你想在CLI中添加新功能,那就去吧!你可以直接侵入来源。如果您不想让技术人员访问交换机,那么为访问交换机的技术人员添加一个特定功能对某些用法来说可能很有趣。

最后但并非最不重要的是,每个交换机的操作系统都是相同的。一次下载,多次应用。

专为性能而设计?

大量的计算工作是在硬件中使用ASIC完成的,以减少CPU使用量并改善延迟。根据阿里斯塔和加里A.的《阿里斯塔战士》一书。Donahue(我推荐,它是由一位idenpendant网络工程师编写的)交换机背板(也称为"交换机结构")的制作方式使端口不会被过度订阅。术语"非阻塞交换机"通常用于描述这些交换机,它意味着每个端口都能够以线路速率向另一个接口发送和接收流量。因此,如果我们有一个24 10GbE交换机(例如7150S-24),则结构吞吐量约为240 Gbps(全双工)。在上一段中,我写道,我们可以在10GbE管道上每秒发送大约15Mbps,linux集群ddos防御,因此在24端口交换机上,应该是15Mbps*24=360Mpps,猜猜看……他们在纸上给出的数字是多少!信不信由你,在一个拥有"很少"硬件的实验室里,要达到15pps是很难的,所以现在我相信他们…