3ащита apache

kostich, Они не продают защиты как таковой как вы они продают грамотную настройку, а это согласитесь несколько разные вещи потому и не высокая цена.

Те 100% защита от паразитного трафика только через туннели релизуется (вы вроде как-то так говорили сам то не силён просто я в этом) но это и стоит недешево, хотя для жизненноважных проектов иногда дешевле заплатить вам, чем проект умирал под атакой и терял большие деньги. В данном топике я лишь говорю о том что они хорошие и недорогие сисадмины не более того.

Если про медиалабз, то они воздух продают... кто-то спорит с этим что ли?

ps про настройку я молчу... апач и nginx не приспособлены для этого.

А чем вам nginx не нравится?

мне сам tcp стэк в юникс-е не нравится, а nginx софтина хорошая... правда от ddos она мало чем спасает...

Тогда следующий вопрос - а где стек нравится? :)

Чем именно?

Присоединяюсь к вопросу. :)

в реализации конечно... например нет возможности сделать аля destroy, так что бы вычистило его со всеми стейтами из всех таблиц.

kostich,

это уже далеко не про апач =)

это все в кассу на самом деле...

под фрей есть accept filter, под линуксом более убогая поделка под названием deferred accept... все это имеет прямое отношение к реалиации стека и т.д... фряшный accf_http можно ддоснуть до момента нехватки памяти, линуксовый очевидно тоже... самое поразительное, что до логов опача или nginx это все как-то не дойдет... если досят POST запросами, то фряшный ацепт фильтр пропускает, а линуксовому изначально параллельно, т.к. он аля как accf_data...

атака идет на tcp стэк в первую очередь, а падение опача или nginx это как следствие... атаку наращивают до результата... если там появился mod_evasive и т.д., да без разницы что, то зальют гигабит syn/ack флуда и пускай оно валяется... icmp обычного фрагментированно наливают сейчас столько, что если на аплинках аплинков аплинков не фильтровать, то хватит любой ДЦ в РФ похоронить...

Обычный юникс на среднем сервере дохнет в р-не 100kpps-ов на грамотной синфлад атаке, т.к. если он как рутер может и 1mpps пакетов разруливать, то на синкуку ему надо генерить хэш... на соньковских PS3 можно делать 1.4 биллиона md5 хэшей в секунду а на писюке сами понимаете, биллион предел мечтаний... а еще надо и прерывания разруливать и т.д... хорошо когда сетевуха может несколько тысячь пакетов за одно прерывание слить, а если нет то каюк... а 100kpps это чего-то мегабит 50 получается и всем как-то по барану что у вас канал до сервера гигабитный.

сам стэк, в его реализации, в рамках защиты от ддос, он никак не годится... разбор идет попакетный и т.д... в системах защиты и высокопроизводительных маршрутизаторах с NICами работают совсем иначе... что бы собрать высокопроизводительный маршрутизатор нужно несколько NICов с отдельными рисковыми CPU и пакеты могут свитчится минуя память, а следовательно минуя производительность памяти.. сейчас шина PCI-e работает как самолет и производительность решений упирается в оперативку в основном... в L2 кэш CPU влезает столько маршрутов, что как-то в реальности столько не надо... в нашем случае в L2 кэш влезают и сигнатуры и т.д...

еще раз повторю.. апач и nginx можно свалить без всяких мегабот сетей какие бы модули туда не ставили... это круто конечно, когда какие-то маленькие победы над мегатупими атаками, но прогресс не стоит на месте...

многие тут скажут, что вот они отбивали атаку с 6-7тыс ботов... замечу, что это просто ддос-еры тупанули... если бы с 6-7 тыс ботов зарядили синфлуд или syn/ack, то канал бы накрылся моментом... а если тупой флуд, то конечно можно на апаче отбивать различными модулями... с некоторых ip вваливают аж по 5kpps...

зы. тема стара как ip...

Делаем IDS на кластере из сонек? :)