在 DDOS 攻击期间,如果我们发现要阻止的 IP,使用空路由是否会比使用 iptables 获得更好的性能?
空路由我们会做这样的事情:
ip route add blackhole <ip or range>
在 iptables 中:
/sbin/iptables -A INPUT -s <ip or range> -j DR
没有区别吗?我怀疑route会工作得更好,但不确定。
似乎 HAProxy 不允许这样做。我们在后端有 Tomcat 服务器,并计划使用 Apache + mod_jk 进行负载平衡。我们正在考虑切换到像 Netscaler 这样功能更全面的东西,但我没有卖掉,因为我正在寻找的部分功能是能够进行无缝部署,我可以在之前从负载平衡器中删除其中一台 Tomcat 服务器重新启动它。