- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
А на Вашей практике много было случаев, когда "образованный в сетевом плане" индивид написал жалобу, и та подействовала?
с моей подачи много чего вырубали...
с моей подачи много чего вырубали...
У меня конечно же не так много опыта, но по тому что есть, я не могу утвердительно сказать, что кляуза быстродейственна и эффективна.
server.it добавил 30.04.2010 в 06:52
Я так понимаю, что к ддосу относятся: SYN-флуд, UDP-флуд, ICMP-флуд и флуд прикладного уровня (например HTTP-флуд)
http://ru.wikipedia.org/wiki/DDoS
Гм, лично я считаю, что синфлуд - это одно из вспомогательных средств атаки, которое предназначено для отбора производительности сервера.
У меня лично был случай, когда в течении некоторого времени (примерно сутки), сервер очч сильно флудили, но на работоспособность ресурса это никоем образом не повлияло. Стек само собой "тюнингованый".
Я считаю, что можно защитится от ЛЮБОЙ ддос атаки, если ее входящий трафик + полезный трафик сайта меньше канала сервера.
Примерно 2/3 от канала. Или что-то близко к этому.
1) От Syn-флуда включением SYN-cookie и настройкой параметров TCP/IP сервера.
Эти меры лишь повышают "имунитет" сервера. Одним флудом сервер не нагнуть.
2) От http-флуда занесением всех атакующих IP в фаервол. Или можно банить HTTP ботов сразу блокировкой сети /24 или /16 если атакующих IP слишком много.
Эту тему обсуждали подробнейшим способом - от выделения айпи ботов ПМ, до капчей.
3) От ICMP и UDP флуда защищаемся, тем что не отвечаем на эти запросы.
На запросы то мы не отвечаем, однако трафа нам набегает - по самые уши.
Моё видение юдипи флуда - это мера, которая косвенно выводит ресурсы из сети: у многих площадок условия размещения соотношение трафа. Юдипи флуд это соотношение сильно ломает, и как следствие - возникают проблемы.
Вот мы и подобрались к юдипи флуду.
Очч хотелось бы выслушать мнения обсуждающих.
Мне понравилась ваша мысль анализировать запросы к ДНС серверу, для поиска ддос ботов.
Пока этого не делал.
Надо будет попробовать этот способ.
Но мне кажется он не защитит от всех ботов, а будет полезен лишь в некоторых случаях.
Так как бот может сделать один запрос к ДНС для получения IP, а потоп миллион запросов к http серверу на 80 порт.
Так что анализ HTTP запросов обязателен.
В большинстве своём, ботсеть генерирует обычный трафик, т.е. запросы днс в штатном порядке.
Просто анализировать днс запросы для формирования списка плохих ip значительно проще, нежели чем брать аналитику из апача. Ну а дальше действия по той же схеме.
Опять таки: лично мне кажется, что правильным было бы совмещать эти методы вместе.
Пока нет времени на проверку - запарка по работе, но обязательно отпишусь по результатам.
сори за офф, но пора уже школу антиддосеров открывать 😂
Я считаю, что можно защитится от ЛЮБОЙ ддос атаки, если ее входящий трафик + полезный трафик сайта меньше канала сервера.
кол-во пакетов в секунду ограничивается возможностями физического линка. если мы говорим про обычную сотку или гигабит, то при минимальном размере пакета канал умрет раньше чем произойдет его полная загрузка.
сори за офф, но пора уже школу антиддосеров открывать 😂
кол-во пакетов в секунду ограничивается возможностями физического линка. если мы говорим про обычную сотку или гигабит, то при минимальном размере пакета канал умрет раньше чем произойдет его полная загрузка.
Спасибо за поправку.
Скажите. Если рассматривать канал 100 Мбит/сек.
То максимальное возможное переданное количество пакетов в секунду одинаково для различных моделей устройств?
Или же дорогие устройства маркированные пропускной способностью 100 Мбит/сек могут пропускать больше пакетов в секунду чем дешевые?
Если так то почему в спецификациях оборудования на первом месте указывают именно 100 Мбит/сек, а не количество пакетов в секунду?
Если так то почему в спецификациях оборудования на первом месте указывают именно 100 Мбит/сек, а не количество пакетов в секунду?
Ну так не рассчитаны они на ддос. Производительность CPU маршрутизатора довольно низкая по сравнению с со средненьким ПК. Это не мешает им прокачивать в нормальных условиях гигабиты, но во время ддос все изменяется.
Магистральные маршрутизаторы могут и выдержать сотку.
Спасибо за поправку.
Скажите. Если рассматривать канал 100 Мбит/сек.
То максимальное возможное переданное количество пакетов в секунду одинаково для различных моделей устройств?
Теоретически - одинаковое, практически - упирается в производительность железа.
Для коммутаторов - в производительность матриц коммутации. Для маршрутизаторов - в производительность матриц коммутации и процессора, если коммутация осуществляется не полностью аппаратно. Для компьютеров - в производительность связки "сетевая карта - драйвер - шина - процессор - ОС".
Или же дорогие устройства маркированные пропускной способностью 100 Мбит/сек могут пропускать больше пакетов в секунду чем дешевые?
Именно
Если так то почему в спецификациях оборудования на первом месте указывают именно 100 Мбит/сек, а не количество пакетов в секунду?
Маркетинг.
Если так то почему в спецификациях оборудования на первом месте указывают именно 100 Мбит/сек, а не количество пакетов в секунду?
100 Мбит/с - это формальная скорость подключения, а не то, сколько реально можно через него прокачать. Wifi 801.11g тоже имеет "скорость" 54mbit, но кого это волнует, если пролезает 25 на клиента, да и то при большом везении? :)
Именно
стоимость устройства никак не подверждает описанных в инструкции параметров.
стоимость устройства никак не подверждает описанных в инструкции параметров.
Строго говоря да, но если говорить о типичном разделении сегментов SOHO и provider/enterprise то такая закономерность все же есть :)
Строго говоря да, но если говорить о типичном разделении сегментов SOHO и provider/enterprise то такая закономерность все же есть :)
нету. хотя бы вспомнить старые NPE-400 у циски. а железяку с этим процом не все региональные провайдеры могли себе позволить. и это в то время когда какая-то китайская офисная хрень на аналогичной задаче не проявляла признаков беспокойства. NPE-400 это 400kpps, а NPE-1G уже 1 mpps... 1 mpps синфлуда это даже не 1 гигабит загрузки канала, но тем не менее это 100% загрузка сетевого проца.