|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
小包转发效率低下,这既不是SYN问题,也与QUEUE无关,根源在于:
1、 操作系统对大量随机中断(interrpt)的性能低下:PC体系架构的系统中,网卡接收数据(RECV)基于中断机制(IRQ)。以前窄带时代带宽小,每秒产生IRQ次数少,占用CPU处理资源也就少。在宽带环境下,当每秒IRQ数量达到10K以上时,CPU就忙不赢了。
2、操作系统从kernel到user-space的内存复制(copy)效率低下。
为解决IRQ处理瓶颈,现代操作系统改变了网卡的IRQ处理机制,提高了网络处理效率:
提高网络性能的几种技术
1、FreeBSD下的device polling
关闭网卡的中断方式,使用轮循方式收发报文,可以大大提高小包(如syn flood,udp flood)下的路由性能和路由器的稳定性,提升率可以超过100M线速。
2、Linux2.6下的NAPI(New API)
关闭网卡的中断方式,使用轮循方式收发报文,可以大大提高小包(如syn flood,udp flood)下的路由性能和路由器的稳定性,提升率可以超过100M线速,但远低于FreeBSD下的decice_polling。
3、Linux下的Timer_based网卡驱动程序(Tuplit网卡)
关闭网卡的中断方式,使用基于网卡上定时器进行定时查询方式收发报文,可以大大提高小包(如syn flood,udp flood)下的路由性能和路由器的稳定性,提升率可以超过100M线速,但远低于FreeBSD下的decice_polling。
4、Linux下的NAPI和Circular Buffer技术(DMA—user_space技术)
关闭网卡的中断方式,使用轮循方式收发报文,可以大大提高小包(如syn flood,udp flood)下的路由性能和路由器的稳定性,提升率可以超过1000M线速,略高于FreeBSD下的decice_polling。
使用Circular Buffer技术的NAPI由libpcap_MMAP网络库文件包实现,它将网卡上的数据包通过DMA方式直接copy到user-space而无须绕道kernel,大大提高效率。可惜的是,目前linux还未正式采用此技术,也未得到完备测试。
目前做得最好的、最稳定成熟的应该算FreeBSD4.10以后的版本。据测试,未启用device polling前64byte小包的转发速率只能达到20Mbps带宽(CPU100%),启用后则可达到600Mbps(cpu5%);对于大包则可达990Mbps(cpu5%)。
本人经长期测试、使用,证明使用FreeBSD device polling+OpenBSD的IPF的SYN保护,可保证在大量SYN攻击(400K包/秒)下CPU只2%,且系统正常工作。
以下为参考资料:
1、Circular Buffer
http://www.ntop.org/
2、使用Circular Buffer和NAPI的网卡驱动(e1000):
http://sourceforge.net/projects/e1000/
3、DAG
http://dag.cs.waikato.ac.nz/
4、Device Polling Support for FreeBSD
http://info.iet.unipi.it/~luigi/polling/ |
|
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
发表于 2006-8-24 23:48:46
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
