基于黑名单的IPv6防火墙设计 博客分类: others IPv6
程序员文章站
2024-03-17 22:08:16
...
为完成IPv6封杀的任务, 特设计方案如下.
假设地球上的VPS提供商总共有1000亿亿亿个IPv6地址, 按地球表面积分摊的话, 一个三居室家庭理论上就能分配到1000亿亿亿个IP地址.
再假设地球上有一亿家VPS提供商, 每家1000亿亿个IPv6地址. 每家提供商的IP分成100 0亿段, 每段一亿个IPv6地址.
这是一个相当大的数字, 封杀起来很困难.
幸运的是, 据调查, 中国的网名脑子都进了水, 竟然都选择了同一家VPS提供商makemedie来搭建自己的*, 其他的所有VPS都没生意. 所以, 我们只需要封杀makemedie的1000亿个IP地址段就行了.
为了节省内存, 我们采用延迟封杀技术, 即只有某一IP段的访问量的达到一定阈值后才将这一IP段加载到内存进行封杀, 为了实现流量采样和预警, 特研发芯片作为国标强制标准推广. 考虑到二八原则的普适性, 预估只有约200亿个IP段常驻内存. 200亿这个数据量不算大, 一个Redis集群就可以胜任. 另外, 我们的设计是基于边车(sidecar)模式, 而且是异步的, 性能不是问题, 不需要封杀所有流量, 只需要封杀绝大部分就能达到目的了.
下一步打算引入网格计算, 将封杀列表分发到全国所有三层设备中, 把非法访问封杀在访问者的家门口, 让非法流量连菜市场都去不了.
就这样, 我们就能封杀一个三居室家庭能够分配到的IP地址的一亿分之一.