Заблокировать все входящие UDP-flood на порт 53 с спуфленными адресами - Хостинг и серверы для сайтов

WhiteSuite: хостинг на скоростной платформе NodeSquad!

WhiteSuite · 2010-11-14T17:17:56.0000000Z

Здравствуйте, коллеги. Мы открываем новый хостинг на платформе NodeSquad (о ней чуть ниже) и хотели бы дать Вам возможность попробовать его в действии. Надеюсь, Вас не смутит, что хостинг молодой - команда, его основавшая, имеет достаточно внушительный опыт и практику. Молодой здесь только брэнд. Так, например, этой же командой был создан Host Low Cost*, который с самого начала показывает вполне успешные результаты. Каждый из Вас может зарегистрироваться и взять эккаунт на любое количество сайтов, соразмерно своим потребностям, на 3 месяца бесплатно по промокоду TESTABIANCO . Но почему именно White Suite , а не другой хостинг? Вернемся к самому интересному - платформе NodeSquad. В отличии от простого тюнинга, где подгоняется под место каждый сервер, этот комплекс наработок посвящен тому, чтобы добиться не только максимальной производительности и устойчивости, но еще и быть способным для тиражирования на серверы. Грубо говоря - это очень глубокий тюнинг, поставленный на конвейер, что позволяет привнести высокую скорость в народ, а не только очень кредитоспособным гражданам. А теперь посмотрим на сколько он глубокий и полезный. 1) Динамически пересчитываемое квотирование ресурсов . На сервере установлено доработанное ядро, которое отслеживает справедливость распределения ресурсов между пользователями. Например, на сервере, рассчитанном на 2500 сайтов, использовано всего 0% ресурсов (речь идет про процессор, оперативную память и запись/чтение диска). Тогда каждый запускаемый процесс будет использовать все свободное пространство, то есть 100% от мощного сервера и отработает максимально быстро. Допустим, что скрипт тяжелый и занимает много процессорного времени продолжительный период. Если в момент работы этого единого скрипта запустилось еще два-три от других пользователей, то первый скрипт, который раньше занимал 100% будет ограничен в ресурсах на лету и будет занимать только треть от свободного пространства - 33%. Каждый из двух запущенных позже скриптов тоже получит по 33%. Как только два легких скрипта отработают и уйдут, то все место будет обратно возвращено прожорливому первому. Самое важно, что не смотря на то, что все скрипты производят разную нагрузку на сервер, ресурсов будет выделено поровну и, если один из скриптов тяжелый, то этот сайт будет тормозить, в то время как все соседние сайты будут быстро работать с идентичным набором ресурсов. Какие плюсы это дает: Таким образом, стала невозможной ситуация, когда один некачественно написанный скрипт одного из сотен пользователей мешал работе их сайтов и парализовал всю систему, какой бы мощности она ни была. Его просто ужмет в более скромные рамки и проблемы не будет. Вам больше нет дела до поведения буйных соседей. Если буйный сосед - это Вы, то никто больше не дышет Вам в спину и не считает сколько процессорных секунд Вы потратили и нужно ли Вам переходить на какие-то VIP-тарифы или даже менять хостинг-провайдера. Если Ваш сайт произвел масштабную нагрузку, то он просто будет медленно открываться. Но хостер не потревожит Вас по почте, потому что Вы не можете потревожить остальных клиентов. Если на обычном хостинге "в упаковке без лейблов" сайт тормозит, то для того, чтобы его ускорить нужно, как минимум, его перенести (как правило это делается в рамках смены тарифного плана). Ведь тормозит он потому что на всем сервере кончились ресурсы. Эта технология позволяет делать ускорение сайта без переноса. Ведь если есть квотирование, значит можно сменить квоту и забрать большую долю. Например определить тариф как двухсайтовый, а на самом деле там будет только один сайт, который забирает ресурсы под два**. 2) MySQL . Теперь поподробнее про базы данных. Как вообще это устроено у всех? Есть очередь задач перед процессором. Каждой выделяется процессорное время. И вот очередная задача приходит на мощный процессор, занимает его ресурс и начинает выполняться задача. Но в процессе задачи понадобились данные с базы. Тогда процесс обращается к ней на медленный жесткий диск и начинает ждать, пока он ему ответит. А вместе с ней ждет и сам процессор (понятие iowait - ожидание ввода-вывода), какой бы мощный он ни был. Ведь он выделил время процессу и не важно, чем последний занимается. Таким образом, из-за медленности диска вкупе с низким уровнем программирования, медленный диск убивает на корню всю мощь процессора. Что мы сделали: теперь есть механизм, отслеживающий базы с низким качеством индексации и поднимающий их в память. Обращение к памяти происходит молниеносно. Время на обработку процесса занимает в 10-ки раз меньше, процессор быстрее освобождается и общее состояние сайтов значительно лучше. Но как Вы понимаете, если что-то внезапно случится с сервером и перезагрузит его, то все, что находилось в памяти (а она ведь энергозависимая) испаряется. Для этого в платформе NodeSquad написана целая система, которая выступает диспетчером SQL-запросов между несколькими нодами и в случае падения ноды, полностью актуальная на секунду падения версия баз содержится еще на двух серверах, один из которых в другом датацентре. После подъема сервера база сама восстанавливается в течении 10-30 минут (в зависимости от количества баз, подлежащих восстановлению). 3) BackUp . Возможно Вы замечали, что на хостингах с крупными серверами ежедневно примерно с полуночи резко замедляется работа. Это потому, что бэкапные скрипты, выполняющие инкрементальные бэкапы проверяют stat миллионов клиентских файлов на предмет их изменения. Нагрузка на диск ошеломляющая, а во что это выливается описано чуть выше. Наша бэкапная система получает данные об измененных файлах в момент их изменения в течении всего дня и когда начинается время бэкапа, она не ищет по всей системе, а уже знает что конкретно ей следует бэкапить. 4) QoS . Как правило на каждом сервере есть сайты, посетители которых тратят всю пропускную способность канала перед сервером. А посетителям скромных сайтов уже ничего не остается. Быстро отработавшие скрипты еще пол дела - нужно их доставить до конечного посетителя сайта максимально быстро. Для этого есть система, которая разграничивает полосу пропускания между пользователями максимально справедливо. Это примерно те же принципы, что и в первом пункте, только здесь используется система приоритетов, а не веса. 5) Безопасность . В системе закрыто все, что только можно было закрыть. Даже сменен FTP на SFTP ради сохранения передаваемых Вами паролей. Закрыты так же ICMP-сообщения и еще множество вещей, которые кажутся безобидными с виду, а на самом деле несут в себе хотя бы малейшую опасность. Мы не говорим, что мы совершенно непобедимы, но если кого-то взломают, то мы будем в этом списке точно последние. Список можно не ограничивать хит-парадом первой пятерки и продолжать перечисление отличий достаточно долго (в том числе инженерно-организационными), но полагаю этого уже достаточно, чтобы заинтересовать посетителей форума. Итак прошу любить и жаловать . Еще все 100 купонов, указанных сверху свободны и ждут Вас! ======= * - Сразу бы хотелось предупредить интересующихся на тему того, какое отношение White Suite имеет к Host Low Cost. Это по сути близнецы-братья только нацеленные на разные ниши рынка, имеющие разные команды в поддержке (только гемба), а также принадлежащие разным хозяевам. Однако и та и другая компании основаны на одной платформе и управляются одним составом инженеров. ** - Для этого нужно создать все холостые домены, доступные на тарифе. Потому что система выделяет квоты относительно количества сайтов с именами доменов второго уровня.

A

130

admak

9 июля 2013, 18:04

#891

bugsmoran:
Я сейчас занял выжидательную позицию. Хецнеровцы блочат один адрес. Я переношу клиентов. Прошу их разблокировать. DDoS перекидывают на другой. Там тот же сценарий. Посмотрим чего больше - у злоумышленников денег или у клиентов терпения.

технически Hetzner может заблокировать все входящие UDP?

если да, то как вариант: выносим нс-ы подальше от Hetzner-а и живем вебом без udp.

.............

L

45

Leo__

9 июля 2013, 18:06

#892

такой вопрос еще есть... у меня выделенный ip, сейчас вижу, что на нем другие сайты появились...

это временно? или мне какие-то настройки еще надо поменять?

ns у сайта cloud прописаны, сам сайт открывается.

DNS хостера leaseweb.com домен редиректит на чужой Почему сайт не открывается

223

bugsmoran

9 июля 2013, 18:08

#893

admak, так уже более суток и есть. Только досят настоящие серверы. Им плевать, что досить. Дело уже не в UDP, а в том, что свитчи Хецнера не выносят никакой нагрузки в принципе. Даже если наглухо закрыть вообще весь трафик на серере - он сначала через их свитчи проходит.

lifemeet-свежий дайтинг 4 Борьба с UDP досами Что скажете о дата

[Удален]

9 июля 2013, 18:26

#894

admak:
технически Hetzner может заблокировать все входящие UDP?
если да, то как вариант: выносим нс-ы подальше от Hetzner-а и живем вебом без udp.

Нет, они отвечают что не фильтруют трафик никак и ни при каких обстоятельствах.

523

Den73

9 июля 2013, 18:33

#895

admak:
технически Hetzner может заблокировать все входящие UDP?
если да, то как вариант: выносим нс-ы подальше от Hetzner-а и живем вебом без udp.

все они могут но это не входит в их обязательства поэтому они не будут помогать, к тому же если udp резать не на аплинках то за трафик все равно кто то должен платить.

82

generik

9 июля 2013, 20:07

#896

Извиняюсь что влажу в разговор, что бы не перечитывать всю тему. А что за DDoS?

Сколько трафика и ппс?

SIM-Networks - Professional Hosting Solutions (https://www.sim-networks.com) Серверы индивидуальной конфигурации, SSD VPS и хостинг из Германии

[Удален]

9 июля 2013, 21:44

#897

generik, тут скорее в другом проблема. В том что все сервера в Hetzner, а они не переваривают ддос. И в том что атака идет на разные сервера уже.

82

generik

9 июля 2013, 22:09

#898

WapGraf, это то понятно, просто интересно характеристики атаки.

223

bugsmoran

10 июля 2013, 04:14

#899

generik:
WapGraf, это то понятно, просто интересно характеристики атаки.

UDP-flood на порт 53 со спуфленными адресами.

Интенсивность не замерял, но она не большая.

Одна из характеристик в том, что это был не просто спуфинг адресов, а спуфинг адресов с той же подсети, что и сам сервер. Поэтому когда он отвечал на запрос - он досил соседние серверы и Hetzner блочил сервер-жертву, думая, что он инициатор атаки. Прямо подряд два тикета приходили про один сервер: то что сервер подверся атаке и перегрузил их свитч и тут же абуза на то, что этот сервер рассылает UDP-флуд.

Сейчас подсчитал уход клиентов по результатам атаки - всего 4%. Друзья познаются в беде :)

Все, кто поддержал меня в этот тяжелый период, в конце недели получат год бесплатного хостинга для любого количества сайтов.

6

Яндекс усилил технологию «Спамооборона» Яндекс опубликовал подробности об Все что нужно знать

134

igrinov

10 июля 2013, 04:48

#900

bugsmoran:
Сейчас подсчитал уход клиентов по результатам атаки - всего 4%.

наверное плохая новость для атакующих

в общем желаю побыстрее разрулить эту ситуацию, ведь в этом заинтересованы не только вы, но и оставшиеся 96% (я в том числе)

2

Персональный VPN/Socks сервер (https://cp.inferno.name/aff.php?aff=2419)

Что делать, чтобы попасть в ответы Google Bard

Google: E-E-A-T не является фактором ранжирования

WhiteSuite: хостинг на скоростной платформе NodeSquad!