LVS 负载均衡器理论基础及抓包分析 (6)

Distribute Deny of Service 即 分布式拒绝服务攻击,原理就是通过构造大量的无用数据包向目标服务发起请求,占用目标服务主机大量的资源,还可能造成链路上面网络拥塞,进而影响到正常用户的访问,我们把这个参数设为1,严格校验数据包的反向路径,如果出访路径不合适,就直接丢弃数据包,这样避免过多的无效连接消耗Linux系统资源;

IP Spoofing 即 IP 欺骗,是指客户端通过伪造源IP,冒充另外一个客户端与目标服务进行通信,从而达到劫持的目的,如果我们把参数设为1,严格校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。
测试访问

[root@master01 ~]# curl -m 15 --retry 1 -sSL <!DOCTYPE html> <html> <head> 。。。 <p><em>Thank you for using nginx.</em></p> </body> </html> [root@master01 ~]#

RS 抓包

在这里插入图片描述


在这里插入图片描述


通过RS抓包,可以清楚看出IPIP隧道数据包封装的格式,但回包的时候,直接就回了;
DS抓包(转发server)

在这里插入图片描述


这个数据包,感觉有问题,后面我再查下,分析下原因,如果有人知道,也可交流;

IPIP 特性总结

DIP, VIP, RIP 都应该是公网地址;

RS 的网关不能、也不可能指向DIP;

请求报文要经由 DS,但响应不经过 DS;

不支持端口映射;

RS 的 OS 得支持隧道功能;

总结

在这里插入图片描述


由于各个公司实际情况不同、业务类型不同、容灾策略、基础架构不同,需要结合自己公司的情况进行分析,然后选择合适的解决方案。
本文摘自Linux云计算网络

[video(video-ZxkZ6175-1591944476142)(type-edu_course)(url-https://edu.csdn.net/course/blogPlay?goods_id=19165&blog_creator=KH_FC&marketing_id=162)(image-https://img-bss.csdnimg.cn/20200520195247912.jpg)(title-8小时Python零基础轻松入门)]

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zyysxd.html