- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
не поверите....))))
да, да, самая мерзкая, та самая, которую не любят почти все хостеры, самая злобная в плане нечестной конкуренции, самая-самая л2
Она вроде по UDP работает? Если да, то попросите ДЦ порезать TCP на Ваш адрес (разрешить только с нескольких айпи для удаленного подключения и т.д.).
---------- Добавлено в 16:36 ---------- Предыдущее сообщение было в 16:35 ----------
У меня очень большой опыт по защите от атак той самой игры
Обращайтесь погляжу, что можно сделать
Но как показывает практика - залог успеха правильный хостер
А расскажите нам, что Вы собираетесь делать с 1MPPS трафика? :)
---------- Добавлено в 16:42 ---------- Предыдущее сообщение было в 16:36 ----------
Не обязательно. Нормально интеловская сетевушка 750 держит.
1000 не встречали, но 750-500 без проблем проходит с яндекс дровами под бсд.
500-750 - это цифра, на которой у Вас кол-во дропов уже мешало открытию страницы. До 500 Вы не замечали потому, что дропы не мешали открытию, но они были. И дропы начинаются где-то после 200K. Проверялось на 8 векторной интеловой сетевке с различными дровами, разницы в которых, кстати, никакой, если в карточке больше 1 вектора, т.к. "горлышком" в данном случае является реализация TCP стека в ядре: на каждый SYN будет отправлен SYN,ACK, а по прошествии 15 секундного таймаута еще и 3 ретрансмита. При дефолтных настройках вся эта катавасия с ретрансмитами займет 45 секунд на 1 SYN. А теперь посчитайте сколько SYN'ов Вам вольют дополнительно за эти 45 секунд. И даже если подрезать таймауты и поправить стек, до 1 ретрансимта и 1 секунды таймаута (с меньшими значениями отвалится много нормальных клиентов) - все равно кол-во соединений будет наростать лавинообразно.
Так что дропы, которые не заметны при серфинге - это не "держит". Тут у человека, как бы, риалтайм траффик.
---------- Добавлено в 16:46 ---------- Предыдущее сообщение было в 16:42 ----------
ИМХО. Сины надо отсекать на роутере.
Но вот 1mpps на не каждый роутер вытянет.
Ну да. DIR-400 не выдержит 😂
Если трафик до жертвы доходит - значит роутер вытягивает, не так ли? Любой L3 свич выдержит. Даже тупенькие 3комовские бейслайны пропускают толи 50, толи 100 MPPS. А цисковские гробы с супервизорами есть и по 400 MPPS и выше :)
deltahost.com.ua, я не буду с Вами спорить.
Но скажу одно, 1mpps http флуда фильтруется на ура, а вот когда валит syn флуд + спуфинг я бы не делал таких заявлений насчет выдержит или не выдержит роутер.
И насчет того что дошел ли траф до жертвы или нет тут спорный вопрос, вы его видели на сервере? лично я нет.
Кстати о каком спуфинге идет речь?
deltahost.com.ua, я не буду с Вами спорить.
Но скажу одно, 1mpps http флуда фильтруется на ура, а вот когда валит syn флуд + спуфинг я бы не делал таких заявлений насчет выдержит или не выдержит роутер.
И насчет того что дошел ли траф до жертвы или нет тут спорный вопрос, вы его видели на сервере? лично я нет.
Вы глухонемой штоле? Или читали по диагонали? В заголовке темы написано "где фильтровать синфлуд?!". При чем тут HTTP флуд? С какого перепугу Вы его сюда приплели?
Теперь касательно роутеров.
1MPPS не переварит только SOHO роутер.
Вот Вам спеки самых простеньких каталистов, учите матчасть:
3560:
• 32 Gbps forwarding bandwidth
• Forwarding rate based on 64-byte packets:
• 38.7 Mpps (Cisco Catalyst 3560G-48TS, Catalyst 3560G-48PS, Catalyst 3560G-24TS, and Catalyst 3560G-24PS);
• 13.1 Mpps (Cisco Catalyst 3560-48TS and Catalyst 3560-48PS);
• 6.5 Mpps (Cisco Catalyst 3560-24TS and Catalyst 3560-24PS);
• 3.2 Mpps (Cisco Catalyst 3560-12PC)
• 2.7 Mpps (Cisco Catalyst 3560-8PC)
3750 & 3750-G
• 32-Gbps switching fabric
• Stack-forwarding rate of 38.7 mpps for 64-byte packets
• Forwarding rate: 6.5 mpps (Cisco Catalyst 3750-24TS, 3750-24FS, and 3750-24PS), 13.1 mpps (Cisco Catalyst 3750-48TS and 3750-48PS), 17.8 mpps (Cisco Catalyst 3750G-12S), 35.7 mpps (Cisco Catalyst 3750G-24T), 38.7 mpps (Cisco Catalyst 3750G-24TS and 3750G-24WS), 35.7 mpps (Cisco Catalyst 3750G-16TD), 38.7 mpps (Cisco Catalyst 3750G-24TS-1U), 38.7 mpps (Cisco Catalyst 3750G-24PS), 38.7 mpps (Cisco Catalyst 3750G-48TS), 38.7 mpps (Cisco Catalyst 3750G-48PS)
А если заглянуть в спеки хотя бы 720 супервизора, то в легкую можно увидеть:
Up to 450 Mpps
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/product_data_sheet09186a0080159856.pdf
Понятие переварить - это отфильтровать в моем понимании.
Прогнать через себя трафик это не значит его профильтровать.
Это вы видать слепой немного,
чувак хочет фильтрацию трафика, а не банальную прокачку трафика через железку.
Есть такое понятие друг мой - производительность фаервола такой параметр имеется во всех железных фаерволах.
По вашим словам у Оверсана и Драгонаре стоят DIR 400.
Тыкать носом меня в циски не надо, мы ддос в 3mpps видели у себя на роутере, а вы видать только в дашитах на оборудование.
p.s. больше писать в этой теме не буду. Так как флуд начался.
deltahost.com.ua Вы хоть раз на этих дикообразах фильтровать пытались? У Вас CPU на них вырастет до +100 и через пять сек он ляжет, я говорю о простых правилах на фильтрацию UDP, а не на TCP syn.
Forwarding Rate != filter rate.
Причина простая, перекладывание пакетов не вызывает его подробный анализ (и прием в память), который нужен для фильтрации.
К тому же, необязательно такой большой синфлуд на себя принимать, можно зануллроутить ип или денайить его на фаерволле (что мы и сделали).
А если принимать, то фильтровать надо через многопамятную систему, которая без проблем заполнит синкуками и синхосткэшем все и вся. И фильтровать уже принимая коннект на себя и проксируя клиенту (или NAT делать, но тогда надо опять же в bpf лезть и аномалии выискивать).
Касательно Дропов, их не было у нас, сначала были на интерфейсах, потьюнили сетевые карты, уменьшили интеррапты и все пошло как по маслу.
ИМХО. Сины надо отсекать на роутере.
Но вот 1mpps на не каждый роутер вытянет.
Отсечь роутером - идея утопична. Ляжет вся сеть. Процы не вытянут, какими бы они не были.
Разве что если стоит какой-то фильтр внешний типа арбора или аномали от циско, тогда есть шанс.
Но опять же, проще все сделать на сервере с мощными проциками и хорошим сетевым оборудованием.
Совет топикстартеру - искать надо не контору, а специалистов по защите. Чтобы получилось относительно недорого и надежно. Обычно на широкую аудиторию выкладывают решения по фильтрации мелких атак http, которых сейчас много в силу хорошего развития широкополосного доступа у абонентов.
PS. Мы в данный момент не можем ничего предложить, хотя и специалисты у нас есть и ресурсы.
Только после НГ разве что, если будет актуально.
deltahost.com.ua Вы хоть раз на этих дикообразах фильтровать пытались? У Вас CPU на них вырастет до +100 и через пять сек он ляжет, я говорю о простых правилах на фильтрацию UDP, а не на TCP syn.
Forwarding Rate != filter rate.
Да, нормально UDP фильтруется. Проверьте перед тем как домыслы строить :)
Да, нормально UDP фильтруется. Проверьте перед тем как домыслы строить :)
Проверяли, результат? Больше не пускать команды запрета на свитчах :), учитывая что роутерная база такая же, на них тоже не стоит.
Проверяли, результат? Больше не пускать команды запрета на свитчах :), учитывая что роутерная база такая же, на них тоже не стоит.
У меня работает. Что я делаю не так?