sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #66717
Re: Hardwarevalg til firewall?
> Min firewall døde ved 40 Mbit. Det var en P4 2000 Mhz. Jeg kan desværre
> ikke huske antal pakker i sekundet. vmstat sagde at den brugte ialt
> cirka 35% af sin CPU, men den kunne alligevel ikke spytte mere igennem.
>
hmm hvilket disto/kernel bruger du? for en P4 2Ghz er temmelig potent
maskine. Kører du snort eller ntop på din firewall? hvilket slags traffik?
> Jeg har ved andre lejligheder nemt kunne presse 100 Mbit igennem en
> linux box. En P133 kan jeg presse cirka 10-15 Mbit igennem. Men hvis jeg
> sætter pakke størrelsen til <100 bytes, kan jeg nok ikke trække ret
> meget.
>
> Lige nu laver en firewall ved mig 19 Mbit. Det er 4000pps. CPU
> belastning er på 25%, og der er 7000 interrupts i sekundet.
>
> Min erfaring siger mig at den begynder at sløve ned ved 15000 interrupts
> i sekundet. Altså dør maskinen af for mange interrupts, inden vmstat
> fortæller mig at CPU belastningen er på 100%. Og vi er sandsynligvis
> ikke nået 50 Mbit endnu.
>
jeg lavede lige nu en hurtig lille test:
jeg åbnede for 9/udp på en maskine bag min firewall, og kørte "
while true; do tcpblast -s 100 -u x.x.x.x 9999; done" på en maskine på den
samme switch som firewallens ydre ben, eth2.
samtidigt kørte jeg på firewallen:
# while true; do cat /proc/interrupts ; sleep 1; done | grep "eth2"
<SNIP>
5: 2651393166 XT-PIC eth1, eth2, eth3
5: 2651416199 XT-PIC eth1, eth2, eth3
5: 2651440279 XT-PIC eth1, eth2, eth3
5: 2651462126 XT-PIC eth1, eth2, eth3
5: 2651485498 XT-PIC eth1, eth2, eth3
5: 2651507635 XT-PIC eth1, eth2, eth3
5: 2651528939 XT-PIC eth1, eth2, eth3
5: 2651553172 XT-PIC eth1, eth2, eth3
5: 2651575667 XT-PIC eth1, eth2, eth3
5: 2651598679 XT-PIC eth1, eth2, eth3
5: 2651621275 XT-PIC eth1, eth2, eth3
5: 2651643719 XT-PIC eth1, eth2, eth3
5: 2651666268 XT-PIC eth1, eth2, eth3
5: 2651689530 XT-PIC eth1, eth2, eth3
5: 2651714463 XT-PIC eth1, eth2, eth3
5: 2651736162 XT-PIC eth1, eth2, eth3
</SNIP>
Og i en anden terminal kørte jeg top, hvor CPU states var omkring 35%-45%
system.
Et typisk output fra tcpblast var således:
976 KB in 360 msec = 22220000.0 b/s = 2777500.0 B/s = 2712.40
KB/s
Det er næsten 28 pakker/msec.
> Hvis det er et angreb, har jeg aldrig oplevet et. :)
Jeg arbejder for in større internet udbyder i Israel, så vi bliver konstant
angrebet. Heldigvis er jeg ikke netværk administrator, for de har det
virkelig hårdt.
Follow ups
References