- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Andreyka, ну глупо же. при хорошей раздаче на клиентском порте всегда почти забито 80-95 мбит. Хоть идет на него ддос, хоть не идет - цифру snmp выдаст одинаковую. На ненагруженном сервере перекачка бекапов и прочие работы могут на длительное время забивать клиентский порт до максимума из-за чего возникнут ложные срабатывания.
Исходя из этих фактов, вы, скорее всего, не эксплуатировали подобную схему. Зачем же предлагать настройку?
Алгоритмы исключат ложные срабатывания бекапы и так далее
Алгоритмы исключат ложные срабатывания бекапы и так далее
Вы обычной модели не поняли, куда ещё алгоритмы ?
Можно мониторить количество пакетов в секунду. Это можно "снимать" и с интерфейса сервера и с роутера (если есть тот же snmp). Можно смотреть разницу между in/out, смотреть конкретно in.
Тот же http-флуд не даст значительного прироста трафика, чтобы его поймать, а вот количество входящих пакетов обычно возрастает в разы.
Алгоритмы исключат ложные срабатывания бекапы и так далее
Опять валшебные олгаритмы, которые никому не покажу...
Ну хватит уже, фантазер вы наш. Нету таких алгоритмов, которые _гарантированно_ исключат ложные срабатывания хоть по типу предложенных netwind.
Расчитывать тут можно только на эвристику. Причем, задумайтесь - DDoS вовсе не обязательно сводится к просму потоку "GET /". И нет в принципе универсальных способов отличить слешдот-эффект от DDoS.
Вы обычной модели не поняли, куда ещё алгоритмы ?
Слово вумное понравилось. Вот и твердит как попугай.
По сути, любой ДДОС, это увеличение количества обращений к серверу.
Почему не ловить подобные аномалии? В смысле уведомлять администратора о подобных изменениях.
В рамках shared-хостинга разницы нет.
По сути, любой ДДОС, это увеличение количества обращений к серверу.
Почему не ловить подобные аномалии? В смысле уведомлять администратора о подобных изменениях.
Уведомлять-то можно, сколько душа пожелает. А вот банить кого-то и делать прочие "голову-с-плеч-долой" действия по забитым статическим правилам - нет. Разве что правила подтюнены под конкретный проект. Что исключает бюджетные решения.
В рамках shared-хостинга разницы нет.
А в рамках не-шаред?
Один из алгоритмов Химик привел выше
А гарантированных конечно же нет
Гарантии в нашем мире ни кто не дает ни на что
Уведомлять-то можно, сколько душа пожелает. А вот банить кого-то и делать прочие "голову-с-плеч-долой" действия по забитым статическим правилам - нет. Разве что правила подтюнены под конкретный проект. Что исключает бюджетные решения.
А я не сторонник полностью автоматических средств защиты от подобного рода вещей.
Я люблю полуавтоматические, которые исключают ложные блокировки хрен знает чего.
1. Засекаем аномалии различными методами.
2. Сервер должен позволить сдерживать поток подключений. Т.е. не блокировать, а не давать достигнуть такого количетсва подключений, которые не сможет обработать тот же web-сервер. (это скорее применимо на случай http-флуда. Хотя он и самый популярный)
В случае других атак - аномалии тоже с большой вероятностью засечь можно.
3. Уведомляем админа, которые уже разруливает атаку. (уже можно и автоматизировать под конкретно текущую проблему. Накидать скрипт не так долго, который по определённым признакам заблокирует именно эту атаку и ничего лишнего).
По ситуации. Где-то можно отличить, а где-то не очень просто.
Это зависит от дц
В бюджетных это практикуется часто
Почему не ловить подобные аномалии? В смысле уведомлять администратора о подобных изменениях.
ну почему именно snmp ? и нужно ли вообще уведомлять?
в бюджетном ДЦ при ddos начинает тупить сетевое оборудование (а то и вообще мрет). Разбудят админа и без скриптов. Полезет на цисочку и посмотрит ip атакуемого и засунет в blackhole.
В приличном ДЦ наверное могут netflow собирать и анализировать, но при их больших объемах трафика ddos порядка 100 мбит в принципе не проблема : ну поливает и пусть поливает. Клиент или отключит сайт и ддос закончится. Или свалит и ддос закончится. Или защитится и ддос закончится.
При большом ддосе опять же разбудят админа.
От мониторинга только электричество почем зря расходуется и ложные срабатывания.