基于黑名单的IPv6防火墙设计 博客分类： others IPv6

为完成IPv6封杀的任务, 特设计方案如下.

假设地球上的VPS提供商总共有1000亿亿亿个IPv6地址, 按地球表面积分摊的话, 一个三居室家庭理论上就能分配到1000亿亿亿个IP地址.

再假设地球上有一亿家VPS提供商, 每家1000亿亿个IPv6地址. 每家提供商的IP分成100 0亿段, 每段一亿个IPv6地址.

这是一个相当大的数字, 封杀起来很困难.

幸运的是, 据调查, 中国的网名脑子都进了水, 竟然都选择了同一家VPS提供商makemedie来搭建自己的*, 其他的所有VPS都没生意. 所以, 我们只需要封杀makemedie的1000亿个IP地址段就行了.

为了节省内存, 我们采用延迟封杀技术, 即只有某一IP段的访问量的达到一定阈值后才将这一IP段加载到内存进行封杀, 为了实现流量采样和预警, 特研发芯片作为国标强制标准推广. 考虑到二八原则的普适性, 预估只有约200亿个IP段常驻内存. 200亿这个数据量不算大, 一个Redis集群就可以胜任. 另外, 我们的设计是基于边车(sidecar)模式, 而且是异步的, 性能不是问题, 不需要封杀所有流量, 只需要封杀绝大部分就能达到目的了.

下一步打算引入网格计算, 将封杀列表分发到全国所有三层设备中, 把非法访问封杀在访问者的家门口, 让非法流量连菜市场都去不了.

就这样, 我们就能封杀一个三居室家庭能够分配到的IP地址的一亿分之一.