ฉันจะบล็อกรายการที่อยู่ IP ประมาณ 1.4 ล้านรายการได้อย่างไร ฉันได้ลองทำด้วย iptables PREROUTING เช่น:
-A PREROUTING -d IP_HERE/32 -j DROP
แต่ด้วยสถิติจำนวนมากนี้ แบนด์วิธของฉันลดลงอย่างบ้าคลั่งเมื่อฉันทำการทดสอบความเร็ว
ไม่มี IP ที่ถูกบล็อกใน iptables:
1 กิกะไบต์/วินาที
ด้วย IP ที่ถูกบล็อกใน iptables:
สูงสุด 3 Mb/s
ฉันต้องการใช้ XDP_DROP ที่นี่ (ขั้นตอนสุดท้าย): https://blog.cloudflare.com/how-to-drop-10-million-packets/
แต่ฉันไม่มีความคิดที่จะใช้สิ่งนี้ :/ (เขียนโปรแกรมไม่เก่งจริงๆ)
มีทางเลือกอื่นสำหรับแนวทางนี้หรือไม่?
คุณควรจะดูเป็น ipset.
จากเว็บไซต์อย่างเป็นทางการ:
Ipset อาจเป็นเครื่องมือที่เหมาะสมสำหรับคุณ [...] ในการจัดเก็บที่อยู่ IP หรือหมายเลขพอร์ตหลายรายการและจับคู่กับการรวบรวมโดย iptables
[...] (Ipset) อาจจัดเก็บที่อยู่ IP, เครือข่าย, หมายเลขพอร์ต (TCP/UDP), ที่อยู่ MAC, ชื่ออินเทอร์เฟซ หรือรวมกันในลักษณะที่รับประกันความเร็วฟ้าผ่าเมื่อจับคู่รายการกับชุด
หากต้องการใช้งาน คุณต้องสร้างไฟล์ ipset, เพิ่ม IP และสร้าง iptables กฎเพื่อให้ตรงกับ ipset:
ipset สร้างแฮชบัญชีดำ: ip แฮชขนาด 1400000
ipset เพิ่มบัญชีดำ <IP-ADDRESS>
iptables -I INPUT -m set --match-set บัญชีดำ src -j DROP
สามารถดูตัวอย่างการใช้งานจริงได้ ที่นี่. สังเกตว่าใช้ ipset กู้คืน แทนที่จะผ่านแต่ละ ไอพี วนซ้ำเพราะมันเร็วกว่ามาก
หากรายชื่อของคุณ IP มีการซ้อนทับกัน คุณอาจต้องการประมวลผลล่วงหน้าเพื่อแปลงเป็น ช่วง IP ที่เป็นไปได้. ที่นี่ เป็นตัวอย่างเครื่องมือในการทำ มันจะไม่ทำให้คุณแสดงได้ดีขึ้นด้วย ipset แต่จะลดขนาดรายการของคุณ
ในแง่ของการแสดงนั้นรวดเร็วและสเกลมากโดยไม่มีการลงโทษ ในฐานะที่เป็น คลาวด์แฟลร์บล็อกของกล่าวถึงมีวิธีระดับต่ำที่เร็วกว่า; แต่มันซับซ้อนกว่ามากและเพิ่มเพียงไม่กี่ไบต์ต่อวินาที ซึ่งไม่คุ้มกับความพยายาม เว้นแต่คุณจะมีขนาดและความทะเยอทะยานของผู้ให้บริการระบบคลาวด์
หากที่อยู่ IP ทำงานในช่วงที่กำหนด คุณก็สามารถใช้ได้ ยูเอฟดับบลิว เช่นนี้เพื่อปิดกั้นการจราจร:
sudo ufw ปฏิเสธจาก 192.0.0.0/8 เป็นใดๆ
ตัวอย่างด้านบนบล็อกการรับส่งข้อมูลทั้งหมดจาก 192.0.0.1 ถึง 192.255.255.254ซึ่งใช้ได้กับที่อยู่ 16,777,214 รายการ และไม่มีผล (ที่สังเกตได้) เป็นศูนย์ต่อปริมาณงานเครือข่าย
ตราบใดที่รายการ IP ของคุณอยู่ในรูปแบบที่ใช้การได้ในการสร้างช่วง IP สิ่งนี้อาจใช้ได้ผลสำหรับคุณ
คุณสามารถย่อการค้นหาเพื่อเพิ่มความเร็วได้โดย โครงสร้างต้นไม้ กฎของคุณ ตัวอย่างเช่น คุณสามารถทำได้ตามส่วนแรกของ IP เช่น /8 เช่นนั้น:
iptables -N กฎ 8_192_0_0_0
iptables -N กฎ 8_172_0_0_0
iptables -N กฎ 8_10_0_0_0
iptables -A อินพุต -s 192.0.0.0/8 -j rule8_192_0_0_0
iptables -A อินพุต -s 172.0.0.0/8 -j rule8_172_0_0_0
iptables -A อินพุต -s 10.0.0.0/8 -j rule8_10_0_0_0
iptables -A rule8_192_0_0_0 -s 192.168.2.3 -j DROP
iptables -A rule8_172_0_0_0 -s 172.16.2.3 -j DROP
iptables -A rule8_10_0_0_0 -s 10.10.2.3 -j DROP
มีการปรับปรุงอื่นที่ช่วยแก้ปัญหา 3 Mb/s ของคุณโดยตรง:
iptables -I INPUT -m conntrack --ctstate ESTABLISHED, RELATED -j ยอมรับ
สิ่งนี้ทำให้การเชื่อมต่อที่สร้างขึ้นสามารถข้ามกฎ iptables น้อยที่สุดเท่าที่จะเป็นไปได้ แม้ว่าการใช้ ipset เพื่อปรับปรุงความเร็วในการค้นหาที่อยู่ IP ยังจำเป็นสำหรับ การเชื่อมต่อใหม่ เพื่อสร้างเร็วขึ้น
ไม่ว่าคุณจะมีกฎอื่นอีกกี่ข้อ นี่เป็นกฎที่ดีที่จะปรับใช้เป็นกฎข้อแรก
XDP_DROP อาจเกินความจำเป็น เว้นแต่ว่าคุณวางแผนที่จะเรียกใช้รายการบล็อกเหล่านี้ด้วยความเร็วแพ็กเก็ตที่สูงมาก (คิด >1mpps) ดังนั้นฉันจึงขอแนะนำผู้ตอบของ Cyrbil หากคุณไม่มีประสบการณ์เกี่ยวกับโค้ด
หากคุณยังต้องการลองใช้ XDP คุณกำลังมองหาสิ่งที่เรียกว่า a ตัวกรองบาน ซึ่งสามารถตรวจสอบได้อย่างรวดเร็วว่า ip นั้น "น่าจะอยู่ในชุด" หรือ "ไม่ได้อยู่ในชุดแน่นอน"
ตัวอย่างของตัวกรองการบานใน C: โพสต์บล็อกนี้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
