Comments | norguhtar: Linux и решения для Hardware Accelerated Network Processing

norguhtar

Linux и решения для Hardware Accelerated Network Processing

Mar 05, 2010 12:28

Вчера прочитал статью на наге NAT, который мы потеряли. Автор пишет, что вот производители такие бяки не продают сетевые акселераторы и как-то всячески этот рынок ужимают. Я вспомнил про тему сетевых акселераторов которые я находил пару лет назад. Это была плата с несколькими гигабитными интерфейсами и процессором, который позволял трафик получать ( Read more... )

linux, hardware, netfpga, routers

Comments 16

mfonin March 5 2010, 08:06:03 UTC

Интересно, как только не склоняют FPGA. Интересно также насколько это рентабельно.

У меня к вам вопрос / оффтоп.
Собрал Angstrom по вашему циклу статей (console-image и x11-image), но есть одна проблема -- виснет init (который sysvinit-2.86). Выполняет только одну строчку в inittab (sysinit), и из него не выходит (т.е. перехода на 3-й или 5-й runlevel нету).
Если же грузить ядро с init=/bin/sh или init=/etc/init.d/rcS, косо-криво работает (ругается на отсутствие управляющего терминала итд).
Не сталкивались с подобным ?

norguhtar March 5 2010, 08:12:33 UTC

Случаем не по сети грузитесь?

mfonin March 5 2010, 08:14:28 UTC

Нет. Гружусь со стандартного ядра (и не только, сначала на ядро грешил, так собрал своё, а потом взял убунтовское готовое -- та же картина).

norguhtar March 5 2010, 08:32:07 UTC

Черт его знает почему. У меня вполне нормально работало.

Thread 13

kyzia March 5 2010, 08:16:55 UTC

интересно.

veldandi March 5 2010, 10:19:09 UTC

К примеру сейчас сетевые карты работают с DMA. А это позволяет без участия процессора поместить сетевые данные в определенную область памяти, после чего можно будет сказать GPU, что оно там есть и он обрабатывает трафик и дальше происходит необходимо его передать. Если такое будет возможно, то процессор по сути дела не будет обрабатывать сетевой трафик, это будет делать GPU. Как результат производительность PC роутеров может существенно вырасти.

Только это, по-моему, всё равно не очень хорошо - аппаратно атаки отсекать не получится. Каналы чуть-чуть подрастут, до 10Г, и тогда...

Ведь сетевой акселератор, по идее, должен уметь делать дроп без режекта по правилу, и учитывать частоту запросов. А тут непременно надо прогнать через шину (или в случае бюджетных NIC, которые даже сейчас на промышленные материнки паяют - через процессор)

Так что скоро мы сможем увидеть новый вид DDoS атаки - тепловую :) Когда трафик будет специально нацелен на перегрев GPU =)=)=)

norguhtar March 5 2010, 11:08:34 UTC

Только это, по-моему, всё равно не очень хорошо - аппаратно атаки отсекать не получится. Каналы чуть-чуть подрастут, до 10Г, и тогда...

Ну почему же не получится. Вот аппаратно ускоренный IDS
http://www.invea.cz/products/traffic-scanner

Как бе анализ че-это может делать snort, а дальше говорить плате мочи их.