[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)


From "David MENTRE" <dmentre at linux-france dot org>
Subject Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)
Date Fri, 18 Apr 2008 11:58:34 +0200

Salut,

Le 15 avril 2008 21:10, dermiste <dermiste at gmail dot com> a écrit :
>  certes, les syncookies permettent de ne pas encombrer inutilement le TCB
>  (transmission control block), mais demandent plus de calculs de la part
>  du CPU. Après si le CPU peut bouffer du syncookie a 100Mb/s, c'est bon.

J'ai fait quelques tests pour en avoir le cœur net.

Configuration: Debian 4.0, noyau linux 2.6.18, carte mère
bi-processeur Intel Core 2 Duo 6320  @ 1.86GHz, carte réseau gigabit
intégré chipset Intel (Intel Corporation 82573V Gigabit Ethernet
Controller).

J'envoie mes SYN avec un équipement dédié de test réseau (ultra
proprio, IXIA 400T, mais fiable pour ce genre de tests).

* Sans tcp_syncookies :

à ~70 Mb/s :
  500.000 SYN envoyés
    ~7.000 SYN-ACK reçus (1,4 %)

* Avec tcp_syncookies :

à ~70 Mb/s, 100 Mb/s, 380 Mb/s et 760 Mb/s (maximum avec des paquets
de 64 octets sur un lien gigabit Ethernet) :
  500.000 SYN envoyés
  > 500.000 SYN-ACK reçus (j'ai pas regardé en détail ni fait une
analyse plus précise, je suppose qu'il y a au moins un SYN-ACK pour
chaque SYN)

Pour vérifier encore plus, j'ai envoyé à 760 Mb/s (en fait le débit
réel constaté est plus proche de 120 Mb/s, je ne sais pas d'où ça
vient) pendant 1min 12s des SYN à fond les ballons :
 ~18 millions SYN envoyés
 ~24 millions SYN-ACK reçus

Morale de l'histoire : les SYN cookies permettent de supporter un TCP
SYN flood sur un PC récent sans aucun problème. Ce n'est pas la charge
CPU pour calculer les SYN cookies qui pose problème (la machine était
à 48% idle sous top durant le long test).

Amicalement,
d.