论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-07-06 11:54 |只看该作者 |倒序浏览

  请考虑如下场景：

  情况1：来自应用层的DDoS攻击常常是瞬间涌入大量非法ip请求，例如数万个非法ip，所以，对于防火墙黑白名单功能的要求至少有如下：能在很短的时间内更新大量数据项，且不能造成系统服务停顿。

  分析：如果只使用一个全局的哈希表，当在短时间内进行大量的数据项增删时，例如，成千上万个，此时，即使采用多把读写锁分割哈希表的策略，对共享资源的竞争也依然将严重影响系统响应速度，严重时系统可能会停顿或者更糟，对于生产环境中的高负载服务器，这是无法容忍的。

  解决：以空间换时间

  采用双哈希表缓冲的策略，将系统共享资源的竞争热点压缩至两个hash表指针主备切换的极短时间内，此方法能显著降低系统在大量数据项更新时共享资源的竞争。

  系统查询将会直接访问master指向的fr_ip_hash_array，而用户的更新操作将直接针对mirror所指向的另一个fr_ip_hash_array实例，直到switch_mirror_update操作的执行，master将被瞬间“更新”。这是其主要的工作特点。

  对于SMP与多队列网卡的系统，可采用如下策略：多数cpu核心专门负责处理内核的softirq任务，剩下的少数cpu负责进行双哈希表的更新、切换与重建等操作。这样可提高系统对攻击的快速防御响应。

  但此方案将使得系统需要维护两个互为镜像的哈希表，这将加重系统内存的读写负担。

  设计细节请看文章 http://www.cnblogs.com/SwordTao/p/3824980.html

  我已经实现了上述的工具。为了缓解严重的共享竞争，却增加了系统内存读写负担，这对于高负载服务器，诸位觉得可行么？