Linux 6.18 版本的改進概覽
最近的 Linux 6.18 內核更新顯著提升了伺服器在高強度 DDoS(分散式阻斷服務攻擊)流量下的效能。這次更新由 Google 工程師 Eric Dumazet 領導,首次由 Phoronix 的 Michael Larabel 報導。更新著重於優化在多 CPU 核心處理大量封包洪流時的 UDP 接收路徑,減少鎖定爭用並改善 NUMA(非一致性記憶體存取架構)節點間的封包處理,從而提升系統的可擴展性和穩定性。
Linux 6.18 的具體變更
此次修補系列重新組織了 UDP 和 IPv6 堆疊的多個部分以提高效率。套接字結構被精簡以改善緩存的局部性,共享旋轉鎖被替換為每個套接字和每個 NUMA 節點的無鎖佇列。這使得每個 CPU 可以獨立處理傳入的封包,減少了爭用,並能夠在不顯著增加延遲的情況下批量處理流量。
此外,更新採用了 skb_attempt_defer_free() 機制,這個機制先前已經證實能提高 TCP 性能,現在被應用於 UDP,以改善負載下的記憶體處理。這些底層的變更共同降低了多核心同時處理封包流的 CPU 負擔。
在 DDoS 條件下的性能提升
在一個六 NUMA 節點的 Intel Xeon 平台上測試顯示,相較於之前的內核版本,在模擬 DDoS 攻擊中,UDP 接收吞吐量提高了 47%。主機每秒多處理了 1420 萬個封包。
這些改進意味著 Linux 系統現在可以在不丟棄流量或發生網路堆疊擁塞的情況下,支撐更高的封包速率。即使在總封包量激增的情況下,合法封包也不太可能被延遲或丟失。
對營運者的意義
對於運行 Linux 系統的伺服器營運者來說,這些內核變更提供了更強的基礎,能在任何外部緩解措施啟動前生效。依賴高流量 UDP 服務的系統,如 DNS 解析器、遊戲伺服器或即時應用,將在洪水攻擊條件下展現更可預測的行為,而無需額外調整。
通過減少不必要的 CPU 爭用和封包丟棄噪音,更新還改善了網路遙測的數據質量。這轉化為 FastNetMon 等工具能獲得更乾淨的信號數據,從而在攻擊事件中提供更準確的檢測和更快的響應。
一個安靜但有意義的里程碑
預計 Linux 6.18 將成為下一個長期支援(LTS)內核版本,這意味著這些改進將很快進入大多數企業和雲端環境。雖然不能替代專用的緩解措施,但這些改變使 Linux 本身更具彈性,在防禦啟動前吸收更多的攻擊流量。
關於 FastNetMon
FastNetMon 是一個領先的網絡安全解決方案,提供先進的 DDoS 檢測和緩解功能。通過實時分析和快速響應能力,FastNetMon 幫助組織保護其基礎設施免受不斷演變的網絡威脅。更多資訊可訪問 FastNetMon 官網。