叫个板,百兆的82559芯片不会有人比我的性能更高

skylove

原帖由 platinum 于 2006-3-7 10:15 发表

哈哈，人家做打包器，你做攻击器
感觉 skipjack 好像是从事防火墙之类产品研发的人员，说的东西都很专业

做firewall的就还好,最怕是做 attck 的... 一台狂发小包的机器是粉可怕的...

skipjack

原帖由 skylove 于 2006-3-7 10:00 发表
顺带一提,如果是发64的小包，根据以前的资料来看,是bsd最强的,linux在包的size增大以后才逐渐达到bsd的水平.

需求决定应用,我想linux的设计者既然在有bsd的代码可以参考的情形下,依然采用了另外的实现策略,肯定 ...

现在这个桥，TCP/IP协议栈其实被跳过去了，所以Linux和BSD的差别只有mbuf和skbuff的性能差别了，但我想这也仅仅是malloc和kfree之间的区别，因为没有出栈和出栈的操作了。对bsd是实在的不熟悉，网络入门的时候看过mbuf的介绍，没有实际经验。所以在此也希望有经验的人指点一下

skipjack

原帖由 platinum 于 2006-3-7 10:15 发表

哈哈，人家做打包器，你做攻击器
感觉 skipjack 好像是从事防火墙之类产品研发的人员，说的东西都很专业

呵呵...
版主大人，你是不是也感觉防火墙对内网防的太死了，内网到外网的访问也需要conntrack，所以当病毒发作时，会从内网耗尽连接数，我希望有一个产品，对内做到最大的宽容，对外做到最大的限制。也就是说我攻击别人时，不会消耗我的资源，但别人攻击我的时候门都没有（包括DDoS）。呵呵。。。这才是盾的原理。盾外烽火连天，盾内风平浪静，这才是防火墙嘛。国内有很多盾：蓝盾、天盾、冰盾、傲盾、神州盾........

[ 本帖最后由 skipjack 于 2006-3-10 15:34 编辑 ]

skylove

原帖由 skipjack 于 2006-3-7 10:33 发表


现在这个桥，TCP/IP协议栈其实被跳过去了，所以Linux和BSD的差别只有mbuf和skbuff的性能差别了，但我想这也仅仅是malloc和kfree之间的区别，因为没有出栈和出栈的操作了。对bsd是实在的不熟悉，网络入门的时候 ...

我那天是正好在cu的bsd版面看到的一则文章里提到这个发包效率,因而正好在这里顺带提到. 关于linux/bsd的比较底层的开发,我一概都是不懂得的. 那则文章的出处在bsd版面, 我试着找到那则文章,没找出来

platinum

有一定道理，不过也有问题啊
如果“内 -> 外”没有连接追踪机制的话，针对 TCP/UDP/ICMP 等协议的数据回流恐怕就成另一个问题了，这个是否考虑过？

skipjack

原帖由 skylove 于 2006-3-7 10:21 发表



做firewall的就还好,最怕是做 attck 的... 一台狂发小包的机器是粉可怕的...

呵呵。。。我家里是小区宽带上网，测试的时候我都会在晚上进行，并且发包时mac头都定为我自己的主机MAC，不会误伤他人的。放心好了，但如果有人开了sniffer之类的东西，就不是我的错了。

skylove

原帖由 skipjack 于 2006-3-7 10:55 发表


呵呵。。。我家里是小区宽带上网，测试的时候我都会在晚上进行，并且发包时mac头都定为我自己的主机MAC，不会误伤他人的。放心好了，但如果有人开了sniffer之类的东西，就不是我的错了。

私下请求...如果您的研究进展顺利或是成功了.我个人而言很替您高兴;但以网管的身份而论我很担心此技术被恶意的人利用于不良的目的. 因此希望您在事后与大家分享成果的时候,对最终的代码实现上略做保留(比如对关键的一部分只提出思路,不给代码,或者是把头文件隐去)...

再次对我提出的此非分要求表示歉意,一并祝愿您的研究取得最终成功.

skipjack

原帖由 skylove 于 2006-3-7 11:06 发表



私下请求...如果您的研究进展顺利或是成功了.我个人而言很替您高兴;但以网管的身份而论我很担心此技术被恶意的人利用于不良的目的. 因此希望您在事后与大家分享成果的时候,对最终的代 ...

没这么严重吧？
呵呵。。。一定考虑

skipjack

原帖由 platinum 于 2006-3-7 10:52 发表
有一定道理，不过也有问题啊
如果“内 -> 外”没有连接追踪机制的话，针对 TCP/UDP/ICMP 等协议的数据回流恐怕就成另一个问题了，这个是否考虑过？

正在考虑，目前有两种解决方法
1)需要radij之类的数据结构以提高性能
2)用cookie的方法，比如一个ping包从内网出去时，我们记下他的cookie值，利用cookie来判断回来的是否合法。记五元组状态占内存太大，这个方法是可行的，我试过。但大负载下没测过。这个算法还要避开cookie攻击。也算是另类的一种conntrack吧

platinum

syncookie 的效率就是很低的，尤其是大负载的时候
虽然我不知道他的算法，但是我想如果不用 netfilter 的 conntrack 的话，应该避免出现 syncookie 的错误才对，否则效率上不去