Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра

11.01.2009 17:15

Jeffrey Merkey представил в списке рассылки разработчиков Linux ядра код нового специализированного пакетного фильтра FF, предназначенного для блокирования большого числа IP адресов в сетях с интенсивным трафиком. FF состоит из модуля Linux ядра и утилиты для управления пакетным фильтром. Представленный пакетный фильтр не отличается такой гибкостью как iptables, но опережает последний по производительности и потребляет значительно меньше памяти в расчете на один IP.

От ipset новая система отличается тем, что поддерживает блокирование на уровне драйвера e1000. Набор утилит, работающий на уровне пользователя, обеспечивает сохранение БД адресов на диске с кешированием базы в памяти ядра.

Главная задача FF - защита от DoS/DDoS атак, блокирование различного флуда и паразитного трафика. В качестве примера, представлен код для интеграции разработки с postfix для борьбы с роботами спамеров, выступая в роли более жесткой системы блокирования для серых списков и RBL систем.