Clik here to view.
使用Linux抵御TCP Flooding类型的DDoS攻击
我们做如下讨论的前提是你的带宽足够,如果带宽被打满了,也谈不上什么抵御了。 TCP Flooding类型的DDoS攻击,其原理是攻击TCP的3次握手过程,其主要目的是耗尽被攻击者的资源。 那么对于Linux内核来说,这种攻击是如何产生效果的呢? 对于Linux内核来说,每秒钟可以新创建多少个TCP连接直接与每一个进入"listen"状态的socket锁直接相关。...
View ArticleClik here to view.
haproxy中使用map处理大量主机头
先吐槽一下haproxy的官方文档,这个文档真是个神奇的东西,所有需要的东西都在里边,但是如果你想象力不够丰富,就是不知道怎么使用。以下文档,是我简单翻译的aloha blog中的文档而来,加了一点自己的理解。 原文地址见参考文档部分。 我有一个做售后服务的朋友,遇到过一家客户,他们只有一个公网IP,但是要承担几十个不同域名的网站。当时他们使用的是F5...
View ArticleClik here to view.
haproxy的stick-table实际应用探索
haproxy的stick-table,很有用,但很抽象,不好理解。之前生吞活剥翻译了一份haproxy官方blog的文档,自己都觉得非常不满意,因此删除了那篇blog文章,我又参考了几份老外的文档,仔细琢磨了一下stick-table,在此把我的理解写一下,希望能帮到有需要的人,转载请注明来自 http://blog.sina.com.cn/polygun2000 的博客. 第一部分:...
View ArticleClik here to view.
haproxy的log相关
当haproxy部署在复杂网络环境下时,一旦出现问题,我们需要log来帮助我们分析定位故障。haproxy的log提供了非常详尽的信息,本文作为读文档的笔迹,会边读边改,希望最后能形成一份有用的东西。 一、hparoxy日志中的termination_state...
View ArticleClik here to view.
Centos 7的最小化安装
针对生产环境,删除一些Centos 7上不需要的包,算是针对我们生产环境的真正minimal安装吧。 %packages --nobase @core --nodefaults -aic94xx-firmware* -alsa-* -avahi-* -biosdevname -btrfs-progs* -dhclient -dhcp* -dracut-network -iprutils...
View ArticleClik here to view.
Centos 7中的网卡一致性命名规则
一致性网络设备命名,即Consistent Network Device Naming 一、为什么需要这个 服务器通常有多块网卡,有板载集成的,同时也有插在PCIe插槽的。 Linux系统的命名原来是eth0,eth1这样的形式,但是这个编号往往不一定准确对应网卡接口的物理顺序。 为解决这类问题,dell开发了biosdevname方案。 systemd...
View ArticleClik here to view.
Centos7的网卡teaming
对于链路聚合,linux中已有bonding驱动,在CentOS 7中又引入一个teaming驱动。 相比bonding,teaming更强调是在用户空间配置聚合,也比bonding支持更多特性。 具体可以参考官方的Networking guide文档。 teaming驱动本身工作在内核里,创建聚合端口要靠teamd(或者自己写代码调用libteam)。...
View ArticleClik here to view.
centos7+nginx+php-fpm+zabbix安装文档
测试用的快速安装文档,纯粹流水账。 1.安装epel,nginx,zabbix,percona的官方源 # yum install epel-release # rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm # rpm -Uvh...
View ArticleClik here to view.
根据MAC反查交换机端口的思路
公司CMDB系统有个需求,在已知MAC的情况下,找出该MAC所在的交换机端口。 简单的思路如下,用程序实现即可。 STEP 1. 获取当前交换机的MAC地址表(BRIDGE-MIB提供),dot1dTpFdbPort # snmpwalk -v2c -c public 10.10.10.1 .1.3.6.1.2.1.17.4.3.1.2...
View ArticleClik here to view.
用nginx架设webdav服务器
业务部门的新需求,要和国外同事交换文件,原计划使用ftp,但使用sureroute加速有问题,因此改用webdav方式。没啥可说的,流水账记录一下。 1.安装nginx源码包,nginx-dav-ext-module源码 ]# useradd builder ]# rpm -ivh...
View ArticleClik here to view.
squid流水账
1、安装quid和squid-helpers ]# vi /etc/yum.repos.d/squid.repo [squid] name=Squid repo for CentOS Linux - $basearch #IL mirror baseurl=http://www1.ngtech.co.il/repo/centos/$releasever/$basearch/...
View ArticleClik here to view.
如何使用snmp计算接口带宽
作为运维的日常工作,看监控是我们每天都做的事情。突然有点好奇,zabbix,cacti这类软件通过snmp监控流量计算的方法依据是什么呢?于是google一番,得到一些结论。 首先 ,交换机提供的snmp信息中并没有直接的端口带宽,而只有端口上的流量数据。 以下是Cisco在其IF-MIB文件中对于端口接收(IN)流量的定义: ifHCInOctets OBJECT-TYPE SYNTAX...
View ArticleClik here to view.
使用snmp监控haproxy的性能指标
haproxy本身提供了很好的stats页面来展示其性能指标,不过我们需要将这些集中到zabbix监控中去。 可以通过自定义key的方式,也可以通过snmp的方式。 就部署来说,还是使用snmp方式更容易一些。 haproxy的官方源码中包含了社区贡献者Krzysztof Piotr Oledzki提供的haproxy.pl脚本。 这个脚本可以通过读取haproxy...
View ArticleClik here to view.
使用nfsen+sflow分析网络流量
netflow和sflow可以帮助我们分析网络中的流量构成,抓取实施带宽使用情况,帮我们找出"hog"。作为collector的软件一般都是收费的,例如solarwinds NTA,sflowTrend-Pro,ntopng商业版等。不过也有开源的解决方案,例如ntopng社区版和nfsen。 下边来说说nfsen,首先流水账一下安装过程。 一、安装nfsen 1.1...
View ArticleClik here to view.
futex的bug导致MySQL故障
公司有一批HP服务器,采用的是Intel XEON E5 v3的CPU,并且配置了FusionIO的SSD卡,在运行MySQL的时候经常出现MySQL hang住的情况。 找了HP厂家,驱动,硬件换了一个溜够,故障依然存在。近日DBA部门经理去参加一个交流会议时从其他公司同行处得知,此乃一个内核的BUG导致的,尤其是在Intel...
View ArticleClik here to view.
使用clumsy模拟"坏网络"
之前写过一篇使用netem模拟WAN延时,丢包等的博文,参见http://blog.sina.com.cn/s/blog_704836f40102vsuw.html。 但那个要求netem设备放在网络通路中间,对于QA来说,有时不好或不能实现。于是又继续研究,发现了一个更易用的模拟工具,clumsy。 clumsy运行在windows平台上, 其原理是利用WinDivert...
View ArticleClik here to view.
pptp的流水账
一、远端服务器操作 1.安装pptp服务 ]# rpm -i http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm ]# yum -y install pptpd 2.配置pptp服务 ]# vi /etc/pptpd.conf ===> option...
View ArticleClik here to view.
使用nginx-rtmp-module做推流服务器
公司视频部门的需求,要一个接收推流的服务器,据他们说之前用red5,好多需求不能实现,不知真假。既然需求到我这里了,就搜索研究了一下,发现nginx有rmtp模块,大概看了看,写个文档记录一下。 1. 用nginx官方srpm,重新编译nginx,加入nginx-rtmp-module,不用多说。 ]# wget...
View ArticleClik here to view.
使用tinc构建full mesh结构的VPN
以前做VPN都是用openvpn来做,当点数多于两个时,需要做星型结构才能让所有点互通。这会产生一个问题,例如同一省的两个城市分公司之间通信,需要绕道核心点,例如北京的VPN服务器,无端增加了非常大的延时。 为了解决这种需求,发现TINC这个VPN软件可以做到。 TINC是开源软件,官网https://www.tinc-vpn.org. 下边举个例子,说明一下full...
View ArticleClik here to view.
haproxy与ssl应用中的一些点
haproxy自1.5版开始引入了原生SSL支持,因此可以用来做SSL Termination或者SSL Offload。但在做https负载的时候,有一些点需要注意一下,以下文字可能前后逻辑性不太强,是因为我本人对加密算法这些东西也是一头雾水,只是将我看到的一些文档转述一下,尽我所能写明白一些吧。 一、HTTPS慢在哪里? 使用https会明显感觉网站响应变慢了,为什么?慢在哪里了呢?...
View Article