Заблокировали сервер за входящий DDoS и долбит чужой сервер - Хостинг и серверы для сайтов

WhiteSuite: хостинг на скоростной платформе NodeSquad!

WhiteSuite · 2010-11-14T17:17:56.0000000Z

Здравствуйте, коллеги. Мы открываем новый хостинг на платформе NodeSquad (о ней чуть ниже) и хотели бы дать Вам возможность попробовать его в действии. Надеюсь, Вас не смутит, что хостинг молодой - команда, его основавшая, имеет достаточно внушительный опыт и практику. Молодой здесь только брэнд. Так, например, этой же командой был создан Host Low Cost*, который с самого начала показывает вполне успешные результаты. Каждый из Вас может зарегистрироваться и взять эккаунт на любое количество сайтов, соразмерно своим потребностям, на 3 месяца бесплатно по промокоду TESTABIANCO . Но почему именно White Suite , а не другой хостинг? Вернемся к самому интересному - платформе NodeSquad. В отличии от простого тюнинга, где подгоняется под место каждый сервер, этот комплекс наработок посвящен тому, чтобы добиться не только максимальной производительности и устойчивости, но еще и быть способным для тиражирования на серверы. Грубо говоря - это очень глубокий тюнинг, поставленный на конвейер, что позволяет привнести высокую скорость в народ, а не только очень кредитоспособным гражданам. А теперь посмотрим на сколько он глубокий и полезный. 1) Динамически пересчитываемое квотирование ресурсов . На сервере установлено доработанное ядро, которое отслеживает справедливость распределения ресурсов между пользователями. Например, на сервере, рассчитанном на 2500 сайтов, использовано всего 0% ресурсов (речь идет про процессор, оперативную память и запись/чтение диска). Тогда каждый запускаемый процесс будет использовать все свободное пространство, то есть 100% от мощного сервера и отработает максимально быстро. Допустим, что скрипт тяжелый и занимает много процессорного времени продолжительный период. Если в момент работы этого единого скрипта запустилось еще два-три от других пользователей, то первый скрипт, который раньше занимал 100% будет ограничен в ресурсах на лету и будет занимать только треть от свободного пространства - 33%. Каждый из двух запущенных позже скриптов тоже получит по 33%. Как только два легких скрипта отработают и уйдут, то все место будет обратно возвращено прожорливому первому. Самое важно, что не смотря на то, что все скрипты производят разную нагрузку на сервер, ресурсов будет выделено поровну и, если один из скриптов тяжелый, то этот сайт будет тормозить, в то время как все соседние сайты будут быстро работать с идентичным набором ресурсов. Какие плюсы это дает: Таким образом, стала невозможной ситуация, когда один некачественно написанный скрипт одного из сотен пользователей мешал работе их сайтов и парализовал всю систему, какой бы мощности она ни была. Его просто ужмет в более скромные рамки и проблемы не будет. Вам больше нет дела до поведения буйных соседей. Если буйный сосед - это Вы, то никто больше не дышет Вам в спину и не считает сколько процессорных секунд Вы потратили и нужно ли Вам переходить на какие-то VIP-тарифы или даже менять хостинг-провайдера. Если Ваш сайт произвел масштабную нагрузку, то он просто будет медленно открываться. Но хостер не потревожит Вас по почте, потому что Вы не можете потревожить остальных клиентов. Если на обычном хостинге "в упаковке без лейблов" сайт тормозит, то для того, чтобы его ускорить нужно, как минимум, его перенести (как правило это делается в рамках смены тарифного плана). Ведь тормозит он потому что на всем сервере кончились ресурсы. Эта технология позволяет делать ускорение сайта без переноса. Ведь если есть квотирование, значит можно сменить квоту и забрать большую долю. Например определить тариф как двухсайтовый, а на самом деле там будет только один сайт, который забирает ресурсы под два**. 2) MySQL . Теперь поподробнее про базы данных. Как вообще это устроено у всех? Есть очередь задач перед процессором. Каждой выделяется процессорное время. И вот очередная задача приходит на мощный процессор, занимает его ресурс и начинает выполняться задача. Но в процессе задачи понадобились данные с базы. Тогда процесс обращается к ней на медленный жесткий диск и начинает ждать, пока он ему ответит. А вместе с ней ждет и сам процессор (понятие iowait - ожидание ввода-вывода), какой бы мощный он ни был. Ведь он выделил время процессу и не важно, чем последний занимается. Таким образом, из-за медленности диска вкупе с низким уровнем программирования, медленный диск убивает на корню всю мощь процессора. Что мы сделали: теперь есть механизм, отслеживающий базы с низким качеством индексации и поднимающий их в память. Обращение к памяти происходит молниеносно. Время на обработку процесса занимает в 10-ки раз меньше, процессор быстрее освобождается и общее состояние сайтов значительно лучше. Но как Вы понимаете, если что-то внезапно случится с сервером и перезагрузит его, то все, что находилось в памяти (а она ведь энергозависимая) испаряется. Для этого в платформе NodeSquad написана целая система, которая выступает диспетчером SQL-запросов между несколькими нодами и в случае падения ноды, полностью актуальная на секунду падения версия баз содержится еще на двух серверах, один из которых в другом датацентре. После подъема сервера база сама восстанавливается в течении 10-30 минут (в зависимости от количества баз, подлежащих восстановлению). 3) BackUp . Возможно Вы замечали, что на хостингах с крупными серверами ежедневно примерно с полуночи резко замедляется работа. Это потому, что бэкапные скрипты, выполняющие инкрементальные бэкапы проверяют stat миллионов клиентских файлов на предмет их изменения. Нагрузка на диск ошеломляющая, а во что это выливается описано чуть выше. Наша бэкапная система получает данные об измененных файлах в момент их изменения в течении всего дня и когда начинается время бэкапа, она не ищет по всей системе, а уже знает что конкретно ей следует бэкапить. 4) QoS . Как правило на каждом сервере есть сайты, посетители которых тратят всю пропускную способность канала перед сервером. А посетителям скромных сайтов уже ничего не остается. Быстро отработавшие скрипты еще пол дела - нужно их доставить до конечного посетителя сайта максимально быстро. Для этого есть система, которая разграничивает полосу пропускания между пользователями максимально справедливо. Это примерно те же принципы, что и в первом пункте, только здесь используется система приоритетов, а не веса. 5) Безопасность . В системе закрыто все, что только можно было закрыть. Даже сменен FTP на SFTP ради сохранения передаваемых Вами паролей. Закрыты так же ICMP-сообщения и еще множество вещей, которые кажутся безобидными с виду, а на самом деле несут в себе хотя бы малейшую опасность. Мы не говорим, что мы совершенно непобедимы, но если кого-то взломают, то мы будем в этом списке точно последние. Список можно не ограничивать хит-парадом первой пятерки и продолжать перечисление отличий достаточно долго (в том числе инженерно-организационными), но полагаю этого уже достаточно, чтобы заинтересовать посетителей форума. Итак прошу любить и жаловать . Еще все 100 купонов, указанных сверху свободны и ждут Вас! ======= * - Сразу бы хотелось предупредить интересующихся на тему того, какое отношение White Suite имеет к Host Low Cost. Это по сути близнецы-братья только нацеленные на разные ниши рынка, имеющие разные команды в поддержке (только гемба), а также принадлежащие разным хозяевам. Однако и та и другая компании основаны на одной платформе и управляются одним составом инженеров. ** - Для этого нужно создать все холостые домены, доступные на тарифе. Потому что система выделяет квоты относительно количества сайтов с именами доменов второго уровня.

223

bugsmoran

9 июля 2013, 11:22

#851

Как я понял, заблокировали сервер не за входящий DDoS, а за "исходящий" с нашего сервера. То есть DDoS-а как такового нет. Злоумышленник просто подменил адрес нашим и долбит чужой сервер:

Time: Tue Jul 9 11:42:41 2013 +0200
IP: 176.9.73.196 (DE/Germany/-/-/node24-1.whitesuite.ru)
Hits: 11
Blocked: Permanent Block

Sample of block hits:
Jul 9 11:42:24 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2752 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:25 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2753 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:26 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2754 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:27 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2755 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:29 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2756 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:29 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2757 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:30 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2758 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:31 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2759 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:33 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2761 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:35 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2763 PROTO=UDP SPT=53 DPT=42000 LEN=102
Jul 9 11:42:37 vm2 kernel: Firewall: *UDP_IN Blocked* IN=venet0 OUT= MAC= SRC=176.9.73.196 DST=176.9.179.193 LEN=122 TOS=0x00 PREC=0x00 TTL=61 ID=2764 PROTO=UDP SPT=53 DPT=42000 LEN=102

В Hetzner сидят больные люди, они не слышали про Spoofing.

Роскомнадзор заблокировал 18 VPN Защита от фишинга в Сайт Роскомнадзора работает с

V

151

Vistaa

9 июля 2013, 11:34

#852

ДНС тогда уже можно прописывать ваши? Теперь у меня стоят от cloudflare.

334

IS Andrew

9 июля 2013, 11:36

#853

Vistaa:
ДНС тогда уже можно прописывать ваши? Теперь у меня стоят от cloudflare.

А какой смысл, cloudflare всяко круче + дает кучу доп. плюшек, не?

is*hosting - профессиональный провайдер с глобальным присутствием.

223

bugsmoran

9 июля 2013, 11:36

#854

Vistaa, вопрос с DNS неактуален уже. Сейчас проблема только у тех клиентов, кто находился на 176.9.179.193. Но она сейчас решится. Я уже почти перенес все.

---------- Добавлено 09.07.2013 в 13:38 ----------

extra:
А какой смысл, cloudflare всяко круче + дает кучу доп. плюшек, не?

Наша панель на CF автоматом не меняет IP. Вот в чем проблема. Я сейчас 800 сайтов перенес с одного IP на другой. Те, кто был на наших NS - заработают. Те, кто был на CF вынуждены руками прописывать новые адреса.

Facebook запускает новый инструмент Спутник выпустил новую мобильную Зачем ЕЩЕ поисковикам браузеры?

334

IS Andrew

9 июля 2013, 11:52

#855

bugsmoran, у них же есть API, для вирт. хостинга можно все автоматизировать без проблем.

2

53

shilich1

9 июля 2013, 12:08

#856

bugsmoran, техподдержка спит? 12 часов назад написал письмо, нужно решить важную проблему с отправкой писем с сайта.

223

bugsmoran

9 июля 2013, 12:16

#857

Hetzner отказал в гигабитном канале.

we regret to say that the Gbit-Port would not help here because it would not solve
this large attack.

Mit freundlichen Grüßen / Best Regards

Christopher Leopold

Атака в несколько десятков мегабит, которую переваривает простенькй десктопный сервер в их же датацентре, считает "large attack".

---------- Добавлено 09.07.2013 в 14:18 ----------

shilich1:
bugsmoran, техподдержка спит? 12 часов назад написал письмо, нужно решить важную проблему с отправкой писем с сайта.

В среднем на клиента сейчас приходится около 3-х открытых тикетов. В очереди несколько тысяч тикетов. Сотрудников в тысячу раз меньше. Более того, у Вас инженерная проблема. А инженеры все сами знаете чем заняты.

Какой тикет?

Google снова признали самым Мэтт Каттс: что делать Сбербанк: Главные киберугрозы -

53

shilich1

9 июля 2013, 12:22

#858

bugsmoran:

Какой тикет?

Под номером - 30187

223

bugsmoran

9 июля 2013, 12:26

#859

Вам ответили только что.

172

madmozg

9 июля 2013, 12:49

#860

возможно ли как то получить доступ к админке на https://176.9.73.196/manager/ispmgr

не могу развернуть бекапы на другом сервере так как они собраны на более свежем mysql.

Переиграть и победить: как анализировать конкурентов для продвижения сайта

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах

WhiteSuite: хостинг на скоростной платформе NodeSquad!