3ащита apache

1 234
kxk
На сайте с 30.01.2005
Offline
990
kxk
#21

kostich, Они не продают защиты как таковой как вы они продают грамотную настройку, а это согласитесь несколько разные вещи потому и не высокая цена.

Те 100% защита от паразитного трафика только через туннели релизуется (вы вроде как-то так говорили сам то не силён просто я в этом) но это и стоит недешево, хотя для жизненноважных проектов иногда дешевле заплатить вам, чем проект умирал под атакой и терял большие деньги. В данном топике я лишь говорю о том что они хорошие и недорогие сисадмины не более того.

Ваш DEVOPS
K
На сайте с 24.03.2004
Offline
223
#22
iBBi:
Я понял ваш девиз:

У всех гомно, берите только у нас.

Не надоело ещё?

Если про медиалабз, то они воздух продают... кто-то спорит с этим что ли?

ps про настройку я молчу... апач и nginx не приспособлены для этого.

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.
A4
На сайте с 09.08.2007
Offline
55
#23

А чем вам nginx не нравится?

Настройка nginx и сопутствующего софта на freebsd/debian. Контакт через PM.
K
На сайте с 24.03.2004
Offline
223
#24
Alexei42:
А чем вам nginx не нравится?

мне сам tcp стэк в юникс-е не нравится, а nginx софтина хорошая... правда от ddos она мало чем спасает...

A4
На сайте с 09.08.2007
Offline
55
#25

Тогда следующий вопрос - а где стек нравится? :)

Lupus
На сайте с 02.11.2002
Offline
241
#26
kostich:
мне сам tcp стэк в юникс-е не нравится

Чем именно?

Alexei42:
Тогда следующий вопрос - а где стек нравится?

Присоединяюсь к вопросу. :)

There are two types of people in this world: 1. Those who can extrapolate from incomplete data.
K
На сайте с 24.03.2004
Offline
223
#27
Alexei42:
Тогда следующий вопрос - а где стек нравится? :)

в реализации конечно... например нет возможности сделать аля destroy, так что бы вычистило его со всеми стейтами из всех таблиц.

Zaqwr
На сайте с 08.08.2007
Offline
111
#28

kostich,

это уже далеко не про апач =)

Администрирование, Linux, Cisco, Juniper
K
На сайте с 24.03.2004
Offline
223
#29
Zaqwr:
kostich,
это уже далеко не про апач =)

это все в кассу на самом деле...

под фрей есть accept filter, под линуксом более убогая поделка под названием deferred accept... все это имеет прямое отношение к реалиации стека и т.д... фряшный accf_http можно ддоснуть до момента нехватки памяти, линуксовый очевидно тоже... самое поразительное, что до логов опача или nginx это все как-то не дойдет... если досят POST запросами, то фряшный ацепт фильтр пропускает, а линуксовому изначально параллельно, т.к. он аля как accf_data...

атака идет на tcp стэк в первую очередь, а падение опача или nginx это как следствие... атаку наращивают до результата... если там появился mod_evasive и т.д., да без разницы что, то зальют гигабит syn/ack флуда и пускай оно валяется... icmp обычного фрагментированно наливают сейчас столько, что если на аплинках аплинков аплинков не фильтровать, то хватит любой ДЦ в РФ похоронить...

Обычный юникс на среднем сервере дохнет в р-не 100kpps-ов на грамотной синфлад атаке, т.к. если он как рутер может и 1mpps пакетов разруливать, то на синкуку ему надо генерить хэш... на соньковских PS3 можно делать 1.4 биллиона md5 хэшей в секунду а на писюке сами понимаете, биллион предел мечтаний... а еще надо и прерывания разруливать и т.д... хорошо когда сетевуха может несколько тысячь пакетов за одно прерывание слить, а если нет то каюк... а 100kpps это чего-то мегабит 50 получается и всем как-то по барану что у вас канал до сервера гигабитный.

сам стэк, в его реализации, в рамках защиты от ддос, он никак не годится... разбор идет попакетный и т.д... в системах защиты и высокопроизводительных маршрутизаторах с NICами работают совсем иначе... что бы собрать высокопроизводительный маршрутизатор нужно несколько NICов с отдельными рисковыми CPU и пакеты могут свитчится минуя память, а следовательно минуя производительность памяти.. сейчас шина PCI-e работает как самолет и производительность решений упирается в оперативку в основном... в L2 кэш CPU влезает столько маршрутов, что как-то в реальности столько не надо... в нашем случае в L2 кэш влезают и сигнатуры и т.д...

еще раз повторю.. апач и nginx можно свалить без всяких мегабот сетей какие бы модули туда не ставили... это круто конечно, когда какие-то маленькие победы над мегатупими атаками, но прогресс не стоит на месте...

многие тут скажут, что вот они отбивали атаку с 6-7тыс ботов... замечу, что это просто ддос-еры тупанули... если бы с 6-7 тыс ботов зарядили синфлуд или syn/ack, то канал бы накрылся моментом... а если тупой флуд, то конечно можно на апаче отбивать различными модулями... с некоторых ip вваливают аж по 5kpps...

зы. тема стара как ip...

A4
На сайте с 09.08.2007
Offline
55
#30

Делаем IDS на кластере из сонек? :)

1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий