- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если вы блокируете на уровне сервера (iptables), то трафик будет идти вплоть до сервера, соответственно, канал будет забит. Чтобы трафик не дошел до сервера, нужно блокировать выше - ToR стойки, корневой роутер провайдера, а еще лучше через flowspec у вышестоящих провайдеров. Во всех других случаях трафик будет прилетать и забивать канал.
Спасибо большое, буду знать.
Что такое Pps
packet per second. Пакеты могут быть ооочень маленкие, но их может быть ООоочень много.
Вы просто его готовить не умеете.
Как может канал забиваться, если пакеты на уровне ядра отсекаются?
Сервер у вас на гигабитном канале. А вам прилетает UDP 2 гигабита. Как с помощью iptables решите?
Я взял на веру и всё
Вам нужен аниддос сервис, а не каналы в 10 гигабит.
Сервер у вас на гигабитном канале. А вам прилетает UDP 2 гигабита. Как с помощью iptables решите?
Ну я полагал, что если пакеты режутся на уровне ядра, то канал не забивается.
MIRhosting.com объяснил как-то по-другому, я теперь уже и не знаю... видимо мне таких ддосов не прилетало никогда))
UDP пакеты надо резать ДО сервера, иначе они просто забьют всю ширину канала. Хоть 1 гбит, хоть 2, хоть 10 гигабит.
Этим и занимается защита от ДДОС.
Условно, очень упрощённо, у них там каналы, например, 150 гигабит. И атаки до этого размера (например, на 50 гигабит) штатно обрабатываются. Отрезается, фильтруется трафик атаки и до сервера клиента доходит только чистый трафик. В идеальных условиях.
Но есть более изощрённые атаки, с которыми бороться тяжелее. Например, у вас игровой сервер. Работает на TCP протоколе. Вам сразу можно весь UDP отрезать (с ДНС вопрос решаемый). Далее, у вас наверняка только определённые TCP порты нудны. Остальное тоже можно отрезать. Всё это делается на уровне защиты от ДДОС. То есть до вашего клиентского сервера это вообще не долетит.
Но грамотный атакующий быстро определит открытые протоколы и порты, и начнёт заливать туда трафик, имитирующий легитимный, который довольно сложно отфильтровать. И ваш сервер ляже, когда на него 500-700 килоpps прилетит. А может и пара миллионов. При этом по ширине канала всё будет хорошо, вроде как.
Ну и самые зловредные атаки - L7. С ними труднее всего бороться. Они имитируют настоящие запросы от живых пользователей. Могут лазить по страничкам сайта, или коннектиться к игре, или ещё что-то. Но в ОГРОМНОМ количестве сразу. В итоге сервер ложится. Он не рассчитан на такие нагрузки.
А автор пытается решить всё широким каналом.
Ну яж слежу за трафиком Конечно понимаю.
Вы его ежесекундно отслеживаете?
Вы понимаете, что Ваши 10 Тб. предоплаченного трафика на таком канале сольются за пару минут (условно), а дальше Вам будут выставлять уже огромные счета, если Вы не заказывали DDOS защиту?
Вы его ежесекундно отслеживаете?
Вы понимаете, что Ваши 10 Тб. предоплаченного трафика на таком канале сольются за пару минут (условно), а дальше Вам будут выставлять уже огромные счета, если Вы не заказывали DDOS защиту?
на канале 10Г , при полной утилизации , 10ТБ закончатся через ~2 часа
засыпали бизнесменом, проснулись в ипотеке за трафик
кроилово ведет к попадалову ©
Ну яж слежу за трафиком :) Конечно понимаю.
---------- Добавлено 02.06.2020 в 18:53 ----------
Верно. На сколько это адекватно я не знаю. Исходил из такой логики, сейчас у всех дома стоит гигабит + стрессеры предоставляют ддос до 3гб. Соответственно 10гб порт должен решить проблему.
Наблюдения подсказывают мне что подписка на стрессеры за 5-10 евро (стоимость того же домашнего гигабита), которые могут и по более выдать)
Да, сейчас ответил хостер что атака была свыше 20тб.
Соответственно пользы кроме больших счетов за 20тб нет. )) Хорошо хоть сообщили.
ну как и здесь подсказали, нужно чистить трафик. Вот оно как оказывается, даже 20тб без труда заливают, сраные хацкеры.
---------- Добавлено 03.06.2020 в 13:01 ----------
на канале 10Г , при полной утилизации , 10ТБ закончатся через ~2 часа
засыпали бизнесменом, проснулись в ипотеке за трафик
кроилово ведет к попадалову ©
Меня предстергли от 20гб ) Но да, это страшна учитывая что я не миллионер.
Берите сервер с защитой от ддос. Делов то. Полно предложений.
ХМ, и зачем-то нас некто начал ддосить, вдруг :) Эх, школота.