- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу

Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
kostich, Они не продают защиты как таковой как вы они продают грамотную настройку, а это согласитесь несколько разные вещи потому и не высокая цена.
Те 100% защита от паразитного трафика только через туннели релизуется (вы вроде как-то так говорили сам то не силён просто я в этом) но это и стоит недешево, хотя для жизненноважных проектов иногда дешевле заплатить вам, чем проект умирал под атакой и терял большие деньги. В данном топике я лишь говорю о том что они хорошие и недорогие сисадмины не более того.
Я понял ваш девиз:
У всех гомно, берите только у нас.
Не надоело ещё?
Если про медиалабз, то они воздух продают... кто-то спорит с этим что ли?
ps про настройку я молчу... апач и nginx не приспособлены для этого.
А чем вам nginx не нравится?
А чем вам nginx не нравится?
мне сам tcp стэк в юникс-е не нравится, а nginx софтина хорошая... правда от ddos она мало чем спасает...
Тогда следующий вопрос - а где стек нравится? :)
мне сам tcp стэк в юникс-е не нравится
Чем именно?
Тогда следующий вопрос - а где стек нравится?
Присоединяюсь к вопросу. :)
Тогда следующий вопрос - а где стек нравится? :)
в реализации конечно... например нет возможности сделать аля destroy, так что бы вычистило его со всеми стейтами из всех таблиц.
kostich,
это уже далеко не про апач =)
kostich,
это уже далеко не про апач =)
это все в кассу на самом деле...
под фрей есть accept filter, под линуксом более убогая поделка под названием deferred accept... все это имеет прямое отношение к реалиации стека и т.д... фряшный accf_http можно ддоснуть до момента нехватки памяти, линуксовый очевидно тоже... самое поразительное, что до логов опача или nginx это все как-то не дойдет... если досят POST запросами, то фряшный ацепт фильтр пропускает, а линуксовому изначально параллельно, т.к. он аля как accf_data...
атака идет на tcp стэк в первую очередь, а падение опача или nginx это как следствие... атаку наращивают до результата... если там появился mod_evasive и т.д., да без разницы что, то зальют гигабит syn/ack флуда и пускай оно валяется... icmp обычного фрагментированно наливают сейчас столько, что если на аплинках аплинков аплинков не фильтровать, то хватит любой ДЦ в РФ похоронить...
Обычный юникс на среднем сервере дохнет в р-не 100kpps-ов на грамотной синфлад атаке, т.к. если он как рутер может и 1mpps пакетов разруливать, то на синкуку ему надо генерить хэш... на соньковских PS3 можно делать 1.4 биллиона md5 хэшей в секунду а на писюке сами понимаете, биллион предел мечтаний... а еще надо и прерывания разруливать и т.д... хорошо когда сетевуха может несколько тысячь пакетов за одно прерывание слить, а если нет то каюк... а 100kpps это чего-то мегабит 50 получается и всем как-то по барану что у вас канал до сервера гигабитный.
сам стэк, в его реализации, в рамках защиты от ддос, он никак не годится... разбор идет попакетный и т.д... в системах защиты и высокопроизводительных маршрутизаторах с NICами работают совсем иначе... что бы собрать высокопроизводительный маршрутизатор нужно несколько NICов с отдельными рисковыми CPU и пакеты могут свитчится минуя память, а следовательно минуя производительность памяти.. сейчас шина PCI-e работает как самолет и производительность решений упирается в оперативку в основном... в L2 кэш CPU влезает столько маршрутов, что как-то в реальности столько не надо... в нашем случае в L2 кэш влезают и сигнатуры и т.д...
еще раз повторю.. апач и nginx можно свалить без всяких мегабот сетей какие бы модули туда не ставили... это круто конечно, когда какие-то маленькие победы над мегатупими атаками, но прогресс не стоит на месте...
многие тут скажут, что вот они отбивали атаку с 6-7тыс ботов... замечу, что это просто ддос-еры тупанули... если бы с 6-7 тыс ботов зарядили синфлуд или syn/ack, то канал бы накрылся моментом... а если тупой флуд, то конечно можно на апаче отбивать различными модулями... с некоторых ip вваливают аж по 5kpps...
зы. тема стара как ip...
Делаем IDS на кластере из сонек? :)