ddos攻击,nat转发和路由不是一个概念吧.怎么能放到一起比较呢
一台硬防火墙也可以做透明+路由模式!
做地址转换,抗DOS,综合模式的路由!
怎么不可以放在一起呢? 我是回你上个帖子,比较不同的功能的处理包能力. 原帖由 bow 于 2005-11-10 09:25 发表
ddos攻击,nat转发和路由不是一个概念吧.怎么能放到一起比较呢
DDOS攻击实际上就是考验设备PPS转发能力的而已,
如果设备转发PPS的性能很好, 那么会把所有DDOS攻击的数据包都转发给目标,
而不是自己本身会死掉……
比如在NE80上做NAT转发或路由,把一个IP转给设备下的另一个服务器的IP上,
无论你攻击多少PPS,保证全部转发到目标IP,而不是自己卡死了…… ddos攻击还要占用连接线程,一个包就是一个线程10万个包/秒就是10万的独立请求,而且随着时间是积累的。正常连接时10万个包/秒就是几千几万的连接线程。会稳定在一定范围里。 强劲的机器是很有必要的,你的机器多了,不说别的,光NAT都够机器受了。
还没算上开完其他必要的功能先,何况就算你配了你说的配置都只是3000¥左右而已,
都比不上一个中档路由器的价格。 软路由的所有功能基本上都是靠CPU来实现和处理,而那些专业的路由器CPU只是用来协调
各个部件的工作而已。
强烈推荐ROS
硬件路由器可设置的项目太少,不能满足实际情况需要。 硬件路由功能项目少么?你找个NE80或M40试试? 牛,有钱!为什么要把鸡蛋放在一个篮子里?
难道只有把nat/pat&&router&&透明代理&&封包过滤&&放在一台机器才能完成工作么?建议:ros作纯路由--〉公网接入+封包过滤。
centos + vpnserver软件+iptables实现nat,顺便过滤p2p.
tcp垃圾连接时间一律设成30分钟。
[ 本帖最后由 hb2k 于 2005-11-15 14:15 编辑 ] 原帖由 凤凰 于 2005-11-10 03:16 发表
IA32 Hardware requirements
。。。。。。。。。。。。。
发5万PPS时,没规则CPU=60%左右,有规则则CPU=100%。。。。。。。。。。。。。。。。 ...
可不可以这样认为:目前硬件来讲,ros最大可实现的包转发率大致就是发5万PPS了?
还想多问一句,这样的转发率情况下,大致可以换算成为典型网络连接时吞吐量是多少 Mbits/s ?
典型网络连接可以认为是,数据包大小混杂的非极端情况连接
大概数据吧,只想探讨一下
谢谢! 我有台备用的ROS主机,的配置是PIII 800,内存256M,下载速度达到90Mbps时,它的CPU就使用了40左右,我另外一台P4 3.0E 1Gb的双通道内存,915主板的主机,的CPU才使用到4%左右,所以好一点的主机,加一点点钱,应该是值的的,还有,如果有其它的网络病毒的话,CPU使用率也许更多!
供参考! 嗯,有用的数据
楼上的数据是不是在这样的环境下测的?
100M光纤/2*100M 网卡/执行数据“伪装”/非VPN /非加密
因为执行VPN 或者加密 后会有很大影响
如果结果没问题的话,ROS将大有可为。因为同等功能性能的硬件Firewall价格会在2~50W
软件FIREWALL也会在6~15K(还不一定是无限Licence)...........
[ 本帖最后由 mingongjia 于 2005-11-21 11:41 编辑 ] 有必要用这样强的配置吗
既然配置这样高了
为何不用ISA2004? ISA不如ROS看着爽!