[GTER] RES: RES: Quagga
Renato Frederick
frederick at dahype.org
Fri Apr 3 06:56:53 -03 2009
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em nome de Antonio Carlos Pina
> Enviada em: quinta-feira, 2 de abril de 2009 18:35
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Quagga
>
> Não estou mais fazendo testes com a plataforma, mas segue:
>
> Pina se isso realmente acontece ai, você provavelmente encontrou um
> bug, não
> > é normal tamanha diferença somente por conta do firewall. Qual a
> versão
> > utilizada aqui ?
> >
>
> 7.x. A última na época dos testes.
>
>
> >
> > Esses valores em kpps esta sendo somado in + out ? Ou você esta
> contando
> > apenas os pacotes no sentido do teste ?
> >
>
> Somente em um sentido (simulação de ataque System/360), mas o outro
sentido
> continuo funcionando perfeitamente.
>
Fiquei curioso com este relato, resolvi dar uma pesquisada e encontrei algo
interessante[1]
Sobre Juniper rodar 4.x, talvez o relato do link que encontrei ajude a
explicar:
"4.11;
UDP floods are much better handled - an ipfw block rule for the packet type
and the machine responds as if there were no flood at all (until total
bandwidth saturation or PPS limits of the hardware, which in this case was
around 950Mbps). TCP syn attacks are also better handled, again a block rule
makes it seem as if there were no attack at all. The system also appears to
be able to move 800-900k PPS of any one protocol at a time."
[...]
I suppose my concerns are two-fold. Why is 6.x collapsing under traffic that
4.11 could easily block and run merrily along with, and is there a queueing
mechanism in place that doesn't tie up the box so much on inbound flows that
it ignores all other relevant traffic?
E a conclusão dele é bem lógica:
Another scary discovery - if you've got 6.2 setup to route, even with static
routes, 1Mbps of TCP SYN traffic will cause it to start dropping packets in
every direction. Awesome. Methinks I'll be using 4.11 for a while. ;P
Resta saber se alguém já repetiu estes testes recentemente e alterou os
diversos parâmetros de sysctl para chegar a uma performance aceitável em
DDoS. Mas aí acho que a discussão já é mais para a FUG do que a GTER, é
escovação de bits do freebsd :)
[1]
http://unix.derkeiler.com/Mailing-Lists/FreeBSD/performance/2007-02/msg00018
.html
More information about the gter
mailing list