- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
DDOS всегда связан с большим трафиком, потреблением канала и очень дорогостоящим оборудованием. Если дата-центр гарантирует защиту от ДДОС в базовом пакете услуг, а цена при этом не отличается от аналогичных по рынку, такая защита ничем Вам не поможет, будет только пустая надежда.
Смотрите в сторону cloudflare например.
Ищите у кого есть, если защиты периметра нет идите хотя бы в OVH.
Да, но хостер != ISP != датацентр, я об этом. Хотя и зачастую это одна компания.
У OVH кстати защита на сколько мне известно пробивается не очень сложно.
Если хостер в 2019-м году не гарантирует защиту <L7 он не имеет права на существование.
Ну с этим полностью согласен :). В силу того что заказать простейшую атаку в несколько гигабит сейчас стоит несколько баксов - так оно и есть. Это даже больше вопрос жизнеспособности самого хостинга чем удобство клиентов, хотя многие еще до сих пор используют backhole.
Как раз не рекомендую его ставить, ну или очень тонко готовить с веб-мастером, который точно знает в каких локейшинах не будет api, xhr, динамики под видом статики и т.п. Хотя Эльдар и предлагал майнить биткоины на ботах которые его обходят, но ещё в 2007-м я "работал" с full-стек-браузерными ботами. А с появлением фантома и безголового хрома testcookie эти методы себя изжили и могут только добавить проблем на api- ajax- запросах.
Плюс testcookie добавляет много гемороя с белыми списками ПС, краулерами, мессенджерами и иже с ними.
AJAX запросы идут с куками по умолчанию (если мы шлем запрос внутри домена). Соотвественно тут проблем быть не должно.
Вайт-лист конечно нужно поддерживать актуальном состоянии, это да.
---------- Добавлено 18.01.2019 в 12:47 ----------
DDOS всегда связан с большим трафиком, потреблением канала и очень дорогостоящим оборудованием. Если дата-центр гарантирует защиту от ДДОС в базовом пакете услуг, а цена при этом не отличается от аналогичных по рынку, такая защита ничем Вам не поможет, будет только пустая надежда.
Смотрите в сторону cloudflare например.
Время дорогих каналов связи давно прошли и агрегировать несколько 10G портов вполне доступно даже для небольших провайдеров.
Оборудование конечно стоит денег, но есть варианты сделать на более менее стандартом железе :).
Плюс testcookie добавляет много гемороя с белыми списками ПС, краулерами, мессенджерами и иже с ними.
Не знаю о каком геморрое идет речь, но я лично настраивал whitelist через обратный резолвинг хостнейма. Все поисковые роботы проходили на изи. А те кто подменяют юзерагент и не являются таковыми роботами = 403
У OVH кстати защита на сколько мне известно пробивается не очень сложно.
За последние 2 года не наблюдал проблем у OVH по защите периметра. В сентябре 2018-го "принимал" там 860 Mpps перфект-син-флуда на свои сайты. Никаких просадок/потерь/гео-флитраций. Последние проблемы которые помню, были в 2016-м когда они ставили арборы. Тогда чтобы доказать что проблема в правилах на их стороне даже до г-на Клабы дошёл, (даже дали 50 правил на тест :) )
Внутри периметра да, есть проблемы, но чтобы тебя целенаправленно атаковали изнутри периметра нужно иметь ресурс уровня мегого. А в этом случае должен и сам уметь фильтровать syn-флуд на 14,8 mpps.
AJAX запросы идут с куками по умолчанию (если мы шлем запрос внутри домена). Соотвественно тут проблем быть не должно.
Это если включать testcookie бездумно/огульно для всех локейшинов. Если же делать защиту более тонко, только для тех локейшинов, которые подвергаются атаке, то нужно проверять, чтобы testcookie был включен и для всех "родительских" локейшинов.
Оборудование конечно стоит денег, но есть варианты сделать на более менее стандартом железе :).
netmap, pfring DNA, Intel DPDK - фактически бесплатаня фильтрация на скорости потока.
---------- Добавлено 18.01.2019 в 14:15 ----------
Не знаю о каком геморрое идет речь, но я лично настраивал whitelist через обратный резолвинг хостнейма. Все поисковые роботы проходили на изи. А те кто подменяют юзерагент и не являются таковыми роботами = 403
Ботнет на 700'000 full-стек ботов сколько будут ресолвить?
Сразу скажу, это реальная ситуация.
А подсети e-bay, вайбера, ватсапа, скайпа на предмет чего будете ресолвить?
>Ботнет на 700'000 full-стек ботов сколько будут ресолвить?
Резолвится только тот юзер у кого установлен определенный юзерагент
>А подсети e-bay, вайбера, ватсапа, скайпа на предмет чего будете ресолвить?
На предмет нахождения у них PTR записи в айпишнике
>Ботнет на 700'000 full-стек ботов сколько будут ресолвить?
Резолвится только тот юзер у кого установлен определенный юзерагент
У всех уставлен "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Действия дальше?
>А подсети e-bay, вайбера, ватсапа, скайпа на предмет чего будете ресолвить?
На предмет нахождения у них PTR записи в айпишнике
Скайп и ВПС-ки майкрософта находятся в одних подсетсях и имеют одинаковые PTR
Вайбер и ватсап могут вообще не иметь обратных записей.
Действия дальше?
У всех уставлен "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Действия дальше?
https://support.google.com/webmasters/answer/80553?hl=ru
Действия дальше?
https://www.microsoft.com/en-us/download/details.aspx?id=41653
Это будет огромная очередь. Слишком долго.
А после еще поставщик DNS-резолвера вам закроет доступ. Также реальная ситуация. Было как со стороны дата центров, так и со стороны гугла.
Время дорогих каналов связи давно прошли и агрегировать несколько 10G портов вполне доступно даже для небольших провайдеров.
Оборудование конечно стоит денег, но есть варианты сделать на более менее стандартом железе :).
Ну-ка ну-ка. Где это дешевые каналы? Как было 100гбит за $11000 у HE, так и осталось. И это самое дешевое УГ... С кабалой и без полного коммита скорее всего. Это довольно-таки приличная сумма, даже для провайдеров масштаба небольшое европейской страны. У транзитов получше это еще и растет от 1.5 до 3 раз.
Сурс: заполненные звонками Cogent, NTT и Level3 выходные.
Рекомендую обратится https://ddosov.net . Крайне быстро приняли заказ, что не мало важно когда падает сервак. Быстро решили проблему. Остался доволен грамотной консультацией!)))