在实际应用中会遭DDOS攻击,我是这么想:加一个黑名单的功能,把可疑的IP放到这个黑名单,然后lvs就把这些IP拒绝调度或者调度到不存在的机器上去以保证正常的IP正常访问!!
不知道这样做是否可行?
thx
Anonymous (没有被验证)
周日, 2006-10-15 08:31
Permalink
直接在netfilter上添加过滤规则就可以了吧。
bixuan
周日, 2006-10-15 15:08
不可以的!效果不明显!
http://www.ourlinux.net
wensong
周一, 2006-10-16 15:46
从设计的理念来说,我们应该使得调度器处理越简单越好,这样可以达到很好的系统吞吐率,就像核心的路由器主要高速转发IP报文,不应该做其他太多事情。
黑名单的匹配会耗掉一些CPU资源,所以黑名单匹配和防DDoS工作在服务器上做可能更合理一些,毕竟服务器数目是可以不断扩充的。
周二, 2006-10-17 02:28
平时可以不用黑名单的算法,只有在受到攻击的时候采用,我想这样是不是会好一点呢?
There are currently 0 users online.
Anonymous (没有被验证)
周日, 2006-10-15 08:31
Permalink
直接在netfilter上添加
直接在netfilter上添加过滤规则就可以了吧。
bixuan
周日, 2006-10-15 15:08
Permalink
不可以的!效果不明
不可以的!效果不明显!
http://www.ourlinux.net
wensong
周一, 2006-10-16 15:46
Permalink
从设计的理念来说,
从设计的理念来说,我们应该使得调度器处理越简单越好,这样可以达到很好的系统吞吐率,就像核心的路由器主要高速转发IP报文,不应该做其他太多事情。
黑名单的匹配会耗掉一些CPU资源,所以黑名单匹配和防DDoS工作在服务器上做可能更合理一些,毕竟服务器数目是可以不断扩充的。
bixuan
周二, 2006-10-17 02:28
Permalink
平时可以不用黑名单
平时可以不用黑名单的算法,只有在受到攻击的时候采用,我想这样是不是会好一点呢?
http://www.ourlinux.net