Блокировка 2000000 адресов

Ну мне влом, тыкаю в профиль где пачпорт и на международные, т.к. заполнен.

При маленьком траффике. При нормальном у тебя будет OOM довольно быстро)

Какой OOM, простите? Обработку пакетов выполняет ядро.

Вот софтовые прерывания будут проблемой, это да.

При любом.

При малом размере корзины или плохом распределении хештаблица будет представлять список. Какая сложность поиска в списке?

А всё и не надо. Амазон (не знаю, как Гугл) предоставляет https-сертификаты. Дальше рассказывать?

Хз что именно iptables грузят. Обычно когда их 100500 + трафик, машинка умирает.

100500 банов по айпи и out of memory вместе видеда довольно часто, пока работала с физическими машинками. Может быть криво настроенны были, хз. Результат тот же.

Так то наверное были всякие апачи с пхп, которым нормально не урезали кол-во воркеров. Ну или что-то другое юзерспейсное.

Эм... в топе fail2ban светился первым, правда не помню по чему именно сортировала. Давно было, тестировать лень.

Ну так что ты хочешь, утилита на питоне, пытающаяся проглотить и распарсить лог, который тоже не маленький из-за ддоса. Я таки ставлю на то, что причиной ООМов был юзерспейс.

от 2.000.000 адресов сервер схлопнется

Интересные вы люди, сетевые специалисты... Мы сейчас о каком сервере говорим и о каком трафике в pps ? И что эти 2.000.000 из себя представляют, уникальные адреса или целые сети? Я уверяю тебя, что в некоторых ситуациях будет достаточно и первопня с 32 мегабайтами памяти :))) Но главное же не уточнить параметры задачи, а что нибудь написать.

алгоритмически, кол-во блокируемых (отдельно маршрутизируемых) адресов ограничено только фантазией.

1 раз построить оптимальное дерево поиска для заранее известного множества (те самые несколько 10-ков миллионов, менее 1% от общего массива адресов). Полученное дерево можно загнать в конвеер (даже ipset сойдёт, продвинутые нищеброды могут заюзать видяху) и фильтровать в реальном времени.

Если учесть что 90% трафика генерят 10% хостов, и пакеты в один(из одного) адрес ходят пачками, остаётся ещё дикий простор для оптимизаций.

а свистопляску с «выделить адресную часть» фаервол(маршрутизатор) и так должен сделать, это действие не зависит от есть ли хоть 1 блокировка.

Эм... так тоже ПеКи, которые ты какому-то пацану собирал недавно.

А вообще, хотела спросить от куда у тебя серваки и чем они так загруженны. Ожидала увидеть сервак под кроватью, но прошла по ссылке и... взоржала аки лошадь).

В общем, отдай уже ПеКи мелкому, он же гамать хочет и называй вещи своими именами, а то дезинформация сплошная.

алгоритмически, кол-во блокируемых (отдельно маршрутизируемых) адресов ограничено только фантазией.

Там сейчас всего около 20к уникальных префиксов, если тупо все адреса агрегировать. Вообще все, даже те, которые строго по IP блокировать не нужно.

А если чуть умнее — менее 15к.

сетевое оборудование по типу Cisco, Juniper с этим справилось бы на раз-два

Какое? А если адреса не влезут в их asic?

Берете подсеть и добавляете маршрут на неё в blackhole, веcь трафик дропается не дойдя до firewall. Проще всего сделать где-то на магистрали, но все провайдеры перестрахуются и пропишут на своем оборудовании.

У нас фиксированный тип данных, IP-адрес, с фиксированным размером. Для такого случая написать хорошую хэш-функцию проще, чем для произвольных данных. Так что вариант с плохим распределением отметается. Малый размер корзины - тоже не проблема, не было никакой информации об ограничениях по памяти.
В любом случае, я написал «в среднем». Плохое распределение и малый размер корзины - это конкретные ситуации, которые в average-case complexity не учитываются.

Блокировка 2000000 адресов. Какие трудности могут возникнуть?

ясно же, что это кто-то из админов роскомнадзора спрашивает%) не нужно им помогать, мне вчера скайп вот сломали)

мне вчера скайп вот сломали...

У меня сегодня утром заработало. У тебя как?

а хрен знает, я включил обход, как с рутреккером, и забил. мне работать надо, а не утра ждать.

p.s.

а дуров дурак.

а дуров дурак.

Хорошо быть дураком. Платят большие рубли.

Я не стал ходить по ссылке, берегу до вечера настроение.

так часто бывает, однако я не согласен, что количество денег - мерило того, что хорошо.

С разведёнкой то брак оформил? Готовит котлетки тебе?

о! еще один сайтец на амазоне не работает. мдаа... роскомпозор страшен в гневе.

https://a.pomf.cat/vewkgi.jpg

счета за электричество, как? ничего нормально?

В смысле? Бложек Спуфа - эпичен)

на digitalocean

Это мягко сказала

Зависти ответ

Он дурачок, ему хорошо

В общем кто по-опытнее, научите?)))

Роскомнадзор, перелогиньтесь

не, он уже в бнвачике про почасовую жену интересуется у публики

а какой у тебя ник на бнвачике? )

У меня нет ника на бнвочике. Я только бложек Спуфа читаю. Бнвочик, напоминает деградировавших падонкафф.

чтоб комментировать посты Спуфи

Там без меня хорошо справляются.