From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mak@complife.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_HELO_PASS,
	SPF_PASS autolearn=ham version=3.2.5
Message-ID: <50C7B49E.9040305@complife.ru>
Date: Wed, 12 Dec 2012 02:33:02 +0400
From: "Michael A. Kangin" <mak@complife.ru>
User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64;
	rv:10.0.3) Gecko/20120426 Thunderbird/10.0.3
MIME-Version: 1.0
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: [Sysadmins] =?utf-8?b?0JHQvtGA0YzQsdCwINGBIHN5bmZsb29k?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 11 Dec 2012 22:33:12 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/50C7B49E.9040305@complife.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Добрый день.

хочется запинать систему, которая бы выдерживала как можно большее PPS 
синфлуда без вреда для предоставляемых сервисов.

Есть тестовый сервер с двумя ксеончиками, и сетевухой Intel Corporation 
82580 Gigabit Network Connection (драйвер igb).

Запускаем на нём в качестве жертвы апача с тестовым cgi, который 
рассказывает текущее время - так проверяем отзывчивость сервиса.

атакуем так с другого сервера:
hping3 <ip> -p 80 -S --rand-source --flood
Это даёт нам порядка 380K pps исходящего.

А атакуемый сервер (p6, std-def) принимает только порядка 75K, остальное 
дропает. Ну и сервис отвечает более-менее уверенно только до 150K.

Если поставить 3.4.21-un-def-alt0.M60P.1, число принимаемых пакетов 
немного увеличивается, до 110К. Причём, количество принимаемых пакетов 
снижается с ростом нагрузки - так, при атаке под 500К принимается уже 
только 90K.

Немного лучше себя ведёт Centos6 - она вполне принимает до 140K, и 
сохраняет отзывчивость сервиса до 200К с атакующей стороны.

На атакуемой машинке в htop'е светятся красным все ядра, отданные под 
прерывания сетевухи и довольно высокий LA.


Интриги добавляет тот факт, что Линупс сосёт.

Если на этот сервер поставить FreeBSD9, то она принимает под 450К без 
всякого ухудшения сервиса. И живёт со скрипом вплоть до 750К с атакующей 
машины, больше я с неё не смог выжать.

Собственно, что сделать можно под Линуксом?
Все настройки в целом по умолчанию (кроме раскидывания прерываний по 
ядрам процессора). Я пробовал много шаманств - и всякие там sysсtl 
крутить, и длины очередей в ifconfig и ethtool, и параметры igb. Все 
бесполезно (да и раскидывание прерываний, подозреваю, тоже).

Была идея, что 2-4 сетевухи в бондинге будут лучше справляться. Авотфиг. 
Хуже.

-- 
Michael A. Kangin