- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
интересно,какое значение имеет софт, пускай даже под фряху, когда забивается канал.?...
и какие софтварные решения помогут, если забит именно выделенный провайдером для вашего сервера канал.?...
А что в таких случаях происходит с железом? :D
А что в таких случаях происходит с железом? :D
если бы вы внимательнее читали моё прошлое сообщение, вы бы видели, что я говорил о железе на стороне провайдера
отличие элементарно. если провайдер имеет, скажем, гигабитный канал, обслуживает 5000 серверов, и всем их подключает к порту 100 мбит-он просто вынужден ограничивать скорость каждого сервера определённой величиной,скажем, 3 мбит в пике. если вам забивают все эти 3 мбит-вы ставьте у себя хоть железо, хоть ваш мегаконцептуальный софт-ничего не поможет, ибо ваш канал полностью забит
в то же время, провайдер может спокойно фильтровать на своём центральном маршрутизаторе атаку, пока не забьётся его канал(гигабит). в этом случае он может обратиться за помощью к администраторам магистральных маршрутизаторов.
а если речь идёт о кулхацкерской атаке... ну копайтесь с фряшным ядром ради бога. несерьёзная атака-несерьёзная оборона.
мысль в общем ясна, надеюсь ☝
интересно,какое значение имеет софт, пускай даже под фряху, когда забивается канал.?...
и какие софтварные решения помогут, если забит именно выделенный провайдером для вашего сервера канал.?...
у меня решение уровня ДЦ, что позволяет его линейно массштабировать... сервера можно лепить один на один, а балансировка по ним осуществляется с помощью протоколов маршрутизации... ну и etherchanel если надо поднимаем.
если бы вы внимательнее читали моё прошлое сообщение, вы бы видели, что я говорил о железе на стороне провайдера
отличие элементарно. если провайдер имеет, скажем, гигабитный канал, обслуживает 5000 серверов, и всем их подключает к порту 100 мбит-он просто вынужден ограничивать скорость каждого сервера определённой величиной,скажем, 3 мбит в пике. если вам забивают все эти 3 мбит-вы ставьте у себя хоть железо, хоть ваш мегаконцептуальный софт-ничего не поможет, ибо ваш канал полностью забит
вы не совсем предтавляете как устроены большинство ДЦ.
в то же время, провайдер может спокойно фильтровать на своём центральном маршрутизаторе атаку, пока не забьётся его канал(гигабит). в этом случае он может обратиться за помощью к администраторам магистральных маршрутизаторов.
на маршрутизаторах атаки уже давно не фильтруют... только в экстренных случаях и только когда фильтры достаточно простые.
а если речь идёт о кулхацкерской атаке... ну копайтесь с фряшным ядром ради бога. несерьёзная атака-несерьёзная оборона.
мысль в общем ясна, надеюсь ☝
Прежде чем гнать на фряху и вообще на какое либо решение обратитесь к той же самой циске, которая под гуард изначально использовало bsd based, а потом перешла на linux based софт... это писюк обычный фактически, который упакован в брендовый кузов. Удивил? Потом сходите к тому же самому netapp, который на своих nas юзал, а возможно и сейчас юзает, freebsd based ОС. Собственно мы ничем от них не отличаемся... когда упакуем все в красивую коробку, то слово freebsd вообще произносить не будем.
Какая разница что там стоит, если это работает и чистит все что пролетает мимо?
ps. Можно под линукс портировать, но пока нетграфа наманого не будет даже и не подумаем...
ещё раз для писателей,а не читателей.
та же мысль предельно сжато - на возможность отбить атаку влиет исключительно максимальная ширина вашего канала, а не ваши сверхинтелектуальные решения.
если ширина атаки перекрывает канал - решение не работает, на чём бы оно ни было основано, и может быть отсечено исключительно на уровне вышестоящих маршруизаторов. сначала провайдера-потом магистральных. если канал забит на 100%-фильтровать что-то на своём уровне бесполезно. не забивайте несведующим людям головы.
и не пытайтесь забивать ерундой голову мне насчёт софта и железа. думаю, разница между аппаратным и программным RAID вам наглядно всё иллюстрирует?
ещё раз для писателей,а не читателей.
та же мысль предельно сжато - на возможность отбить атаку влиет исключительно максимальная ширина вашего канала, а не ваши сверхинтелектуальные решения.
Да, прасти нас ниразу ниграматных. Если в рутер производительностью 400kpps воткнуть 2 гигабита и направить туда всего лишь 100 мегабит син флуда, то сдохнет он раньше, чем эти 100 мегабит туда зайдут... где-то в р-не 96. Доступно поясняю?
если ширина атаки перекрывает канал - решение не работает, на чём бы оно ни было основано, и может быть отсечено исключительно на уровне вышестоящих маршруизаторов.
Да, прасти нас ниразу ниграматных. В BGP достаточно инструментов для отражения 5 гигабитной атаки на гигабитном канале.
сначала провайдера-потом магистральных. если канал забит на 100%-фильтровать что-то на своём уровне бесполезно. не забивайте несведующим людям головы.
и не пытайтесь забивать ерундой голову мне насчёт софта и железа. думаю, разница между аппаратным и программным RAID вам наглядно всё иллюстрирует?
Мне забавно на самом деле. Стаж у меня в телекоме уже более 10 лет, в т.ч. и по программированию, администрированию и т.д... полный эникей. Что меня всегда забавляло, так это то, что несведующие люди оперируют исключительно терминами СОФТ и ЖЕЛЕЗО.
Если в контексте про RAID, то большая часть дешевых матерей несет на себе именно софтверный - это так, если не в курсе еще. Этот рейд гордо называют железом и залезают на всякие пузомерки замерять бенчмарки...
Если в контексте про циски и все остальное, что несведующие люди называют ЖЕЛЕЗОМ, то там тоже софт - свои ios, os, укоцанные linux, пропатченные bsd и т.д. Даже на дешевых железячных рутерах сейчас какой-то мини линукс крутится, который на флешку залезает и кроме как роутить нифига не может.
Вы думаете WCCP на циске железом решается? Нет, софтом и на цпу прямо (с) один CCIE отказывшийся включать на 65той. Писюковая реализация WCCP для перехвата трафа и балансировки между проксями работает в разы быстрее.
Теперь за различия в решениях... различаются они только софтом и интерфейсами, т.к. большая часть решений построена на обычных писюках. В одних решениях производительность CPU влияет на общую скорость, а в других совсем незначительно, т.к. CPU используется только для управления.
На рынке есть определенные правила. Если бы Арбор продавал свой софт в виде дистрибутивов, то за него бы никто не платил - расковыряли бы уже давно. Но т.к. Арбор хочет денег, то этот софт запихнули в железку, которая ничего особенного толком и не делает - анализирует netflow поток на предмет аномалий. Большую часть фич продвинутые админы делают несколькими скриптами, т.к. поток со статистикой используется еще и для билинга. Алгоритм наитупейший - отследить icmp, udp и флуд. Флуд в потоке netflow заметен невооруженным глазом, особенно в сыром и неагрегированном. Любой программист сможет реализовать все фичи арбора по анализу менее чем за месяц, а там уже разукрашивать это надо, ГУИ всякие приделывать и т.д. Но т.к. на рынке есть свои правила, то что бы это продать за много денег надо это запихнуть в красивую железку - и софт не стырят и за железку заплатят.
С чем конкретно из вышенаписанного Вы не согласны? Если Вы не знаете подробностей и технологий на достаточном уровне, то не надо вот так голословно утверждать.
Могу на спор на гигабитном канале отбить атаку в 3-5-10 гигабит. Готовы спорить? Поднимем стенд, поставим свичи и натравите какие нибудь lan флудильники. Причем все можно устроить в контексте 3750той и флудить будете даже с соседних дырок. Все дело в математике школьного уровня и знание технологий. А мы поржом... преодолеть эту фишку не могут даже в теории, не говоря уже за практику. Да там хоть 100 гигабит... разницы никакой нет, математика одна и таже...
Приходим к выводу. DOS бывает двух основных видов: маленькая и большая. :)
Первая, на способна положить апач, но сети не грозит и влегкую отбивается фильтрами. Вторая, теоретически может положить TCP-стек, но, практически, при правильных настройках, она грозит другим - астрономическим счетом за траф. Потому, прошу, рассуждая про оборону, четко разделять эти две разновидности атаки. Если есть замечания по этому разделению, прошу меня поправить.
Есть у меня интересный вопрос. К примеру, сайт обслуживают несколько серверов (front-end), стоящих в разных странах. Есть ли готовое решение, в DNS, отдающее разные IP хоста в зависимости от IP сделавшего запрос?
это писюк обычный фактически, который упакован в брендовый кузов. Удивил?
Да. Там точно писюк с intel'овским процом? Или amd'шный? :p
Есть у меня интересный вопрос. К примеру, сайт обслуживают несколько серверов (front-end), стоящих в разных странах. Есть ли готовое решение, в DNS, отдающее разные IP хоста в зависимости от IP сделавшего запрос?
bind, sortlist. Однако удивлен подобному вопросу от модератора...