Linux iptables / conntrack performans sorunu


9

Laboratuarda 4 makine ile bir test kurulumum var:

  • 2 eski P4 makinesi (t1, t2)
  • 1 Xeon 5420 DP 2,5 GHz 8 GB RAM (t3) Intel e1000
  • 1 Xeon 5420 DP 2,5 GHz 8 GB RAM (t4) Intel e1000

son aylarda bir dizi syn-sel saldırısı tarafından ısırıldığımız için linux güvenlik duvarı performansını test etmek. Tüm makineler Ubuntu 12.04 64bit çalıştırmaktadır. t1, t2, t3, 1 GB / sn'lik bir anahtar aracılığıyla birbirine bağlanır, t4, ekstra bir arabirim aracılığıyla t3'e bağlanır. Böylece t3 güvenlik duvarını simüle eder, t4 hedeftir, t1, t2, bir paket fırtına üreten saldırganları oynar (192.168.4.199 t4'tür):

hping3 -I eth1 --rand-source --syn --flood 192.168.4.199 -p 80

t4, ağ geçitleri, t4 vb. performans sorunları ile karışıklığı önlemek için gelen tüm paketleri düşürür. iptraf'ta paket istatistiklerini izlerim. Güvenlik duvarını (t3) aşağıdaki gibi yapılandırdım:

  • stok 3.2.0-31-jenerik # 50-Ubuntu SMP çekirdeği
  • rhash_entries = 33554432 çekirdek parametresi olarak
  • sysctl aşağıdaki gibi:

    net.ipv4.ip_forward = 1
    net.ipv4.route.gc_elasticity = 2
    net.ipv4.route.gc_timeout = 1
    net.ipv4.route.gc_interval = 5
    net.ipv4.route.gc_min_interval_ms = 500
    net.ipv4.route.gc_thresh = 2000000
    net.ipv4.route.max_size = 20000000
    

(T1 + t2 olabildiğince çok paket gönderirken t3'ün çalışmaya devam etmesini sağladım).

Bu çabaların sonucu biraz tuhaf:

  • t1 + t2 her birine yaklaşık 200k paket göndermeyi başarır. En iyi durumda t4 toplamda 200k civarında görünür, böylece paketlerin yarısı kaybolur.
  • paketler içinden akmasına rağmen t3 konsolda neredeyse kullanılamaz (çok sayıda yumuşak irq)
  • rota önbellek çöp toplayıcı öngörülebilir olmaya yakın bir yol değildir ve varsayılan ayarda çok az paket / s (<50k paket / s)
  • durum bilgisi olan iptables kurallarını etkinleştirmek, t4'e gelen paket hızını 100 bin paket / s'ye düşürerek etkili bir şekilde paketlerin% 75'inden fazlasını kaybeder

Ve bu - işte asıl endişem - iki eski P4 makinesi olabildiğince çok paket gönderiyor - bu da ağdaki hemen hemen herkesin bunu yapabilmesi gerektiği anlamına geliyor.

İşte sorum şu: Yapılandırmada veya test kurulumumda bazı önemli noktaları göz ardı ettim mi? Özellikle smp sistemlerinde güvenlik duvarı sistemi oluşturmanın alternatifleri var mı?


Ağı doyurmanız mümkün mü? Bu paket kaybının bir kısmını açıklar.
Preston

Herhalde bir hp 2848 anahtarıyla bağlı 1Gb / s'de ağ olduğundan, akış kontrolü açık ve t3'teki yüksek yük ve rota önbellek taşmaları t3'ün zayıf nokta olduğunu gösterir.
tim

Yanıtlar:


1

Artık yönlendirme önbelleği olmayan Çekirdek> = 3.6'ya geçirdim. Bu, sorunlarınızın bir kısmını çözmelidir.


0

T3'te günlük kurulumunuz nasıl? Bırakılan tüm paketler günlüğe kaydedilirse, disk G / Ç nedeni olabilir.

Bu bir test ortamı olduğundan, T3 günlük kaydı kapalıyken testi deneyebilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.