Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Sergey
On Wednesday 12 December 2012, Anton Gorlov wrote: > Не поверю. Вот перед глазами тазик  HP с 2 4 портовыми > сетевыми.. скорость  отдачи  до 7.2 прыгает вполне себе. Так скорость отдачи в нормальном режиме, или под synflood ? -- С уважением, Сергей a_...@sama.ru __

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 14:51, Viacheslav Dubrovskyi wrote: атакуем так с другого сервера: hping3 -p 80 -S --rand-source --flood Это даёт нам порядка 380K pps исходящего. А атакуемый сервер (p6, std-def) принимает только порядка 75K, остальное дропает. Ну и сервис отвечает более-менее уверенно толь

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Viacheslav Dubrovskyi
12.12.2012 00:33, Michael A. Kangin пишет: > > атакуем так с другого сервера: > hping3 -p 80 -S --rand-source --flood > Это даёт нам порядка 380K pps исходящего. > > А атакуемый сервер (p6, std-def) принимает только порядка 75K, > остальное дропает. Ну и сервис отвечает более-менее уверенно только

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 12:39, Anton Gorlov wrote: да, отключение синкуков делает циферки лучше где-то в двое. То есть на Альтлинуксе сервер принимает где-то 200К пакетов. Но это абсолютно бессмысленно, сервис давно недоступный. и до Фри опять же не дотягивает. хочется запинать систему, которая бы вы

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 13:58, Viacheslav Dubrovskyi wrote: Есть тестовый сервер с двумя ксеончиками, и сетевухой Intel Corporation 82580 Gigabit Network Connection (драйвер igb). А какая версия igb? Та что в ядре? Может попробовать с новой 4.0.17 http://sourceforge.net/projects/e1000/ Я пробовал

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 12:39, Anton Gorlov wrote: попробуй ещё для сетевой карты дёрнуть ethtool -G eth0 rx 4096 tx 4096 Так кстати еще хуже даже. На маленьких значениях сервер принимает большее количество пакетов. net.ipv4.tcp_sack=0 net.ipv4.tcp_dsack=0 не влияет. ___

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Viacheslav Dubrovskyi
12.12.2012 12:20, Alexei Takaseev пишет: >> А какая версия igb? Та что в ядре? >> Может попробовать с новой 4.0.17 >> http://sourceforge.net/projects/e1000/ > Вообще очень не хватает igb 4.x в бранче P6 и Сизифе Да, я наверно соберу отдельный пакет. Мне тоже не помешает. -- WBR, Viacheslav Dubrov

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Alexei Takaseev
- Исходное сообщение - > От: "Viacheslav Dubrovskyi" > Кому: "ALT Linux sysadmins' discussion" > Отправленные: Среда, 12 Декабрь 2012 г 18:58:03 > Тема: Re: [Sysadmins] Борьба с synflood > > 12.12.2012 11:42, Michael A. Kangin пишет: > > On 12.12.2012 12:39, Anton Gorlov wrote: > > > >

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Anton Gorlov
12.12.2012 13:54, Viacheslav Dubrovskyi пишет: 12.12.2012 10:31, Anton Gorlov пишет: 12.12.2012 11:20, Viacheslav Dubrovskyi пишет: Да, хуже. Проверяли. Лучше на каждую отдельно роутить. И вообще, каждая новая сетевуха добавленная в бондинг теряет +~30% пропускной способности. Т.е. если мы сдел

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Viacheslav Dubrovskyi
12.12.2012 11:42, Michael A. Kangin пишет: > On 12.12.2012 12:39, Anton Gorlov wrote: > >>> Есть тестовый сервер с двумя ксеончиками, и сетевухой Intel >>> Corporation 82580 Gigabit Network Connection (драйвер igb). А какая версия igb? Та что в ядре? Может попробовать с новой 4.0.17 http://source

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Viacheslav Dubrovskyi
12.12.2012 10:31, Anton Gorlov пишет: > 12.12.2012 11:20, Viacheslav Dubrovskyi пишет: >> Да, хуже. Проверяли. Лучше на каждую отдельно роутить. И вообще, каждая >> новая сетевуха добавленная в бондинг теряет +~30% пропускной >> способности. Т.е. если мы сделаем в бондинге 3 сетевухи по 1G то получ

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 12:39, Anton Gorlov wrote: Есть тестовый сервер с двумя ксеончиками, и сетевухой Intel Corporation 82580 Gigabit Network Connection (драйвер igb). попробуй ещё для сетевой карты дёрнуть ethtool -G eth0 rx 4096 tx 4096 Это всё пробовал. ну и ралди интереса посмотри поведен

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Michael A. Kangin
On 12.12.2012 11:20, Viacheslav Dubrovskyi wrote: Все настройки в целом по умолчанию (кроме раскидывания прерываний по ядрам процессора). Я пробовал много шаманств - и всякие там sysсtl крутить, и длины очередей в ifconfig и ethtool, и параметры igb. Все бесполезно (да и раскидывание прерыва

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Anton Gorlov
12.12.2012 02:33, Michael A. Kangin пишет: Добрый день. хочется запинать систему, которая бы выдерживала как можно большее PPS синфлуда без вреда для предоставляемых сервисов. Есть тестовый сервер с двумя ксеончиками, и сетевухой Intel Corporation 82580 Gigabit Network Connection (драйвер ig

Re: [Sysadmins] Борьба с synflood

2012-12-12 Пенетрантность Anton Gorlov
12.12.2012 11:20, Viacheslav Dubrovskyi пишет: Да, хуже. Проверяли. Лучше на каждую отдельно роутить. И вообще, каждая новая сетевуха добавленная в бондинг теряет +~30% пропускной способности. Т.е. если мы сделаем в бондинге 3 сетевухи по 1G то получим примерно 1+0,7+0,4=2,1G Не поверю. Вот перед