- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
>1Mpps = хардварные решения only
и точка.
>1Mpps = хардварные решения only
и точка.
Чем сервак - не железо?
Причина простая, перекладывание пакетов не вызывает его подробный анализ (и прием в память), который нужен для фильтрации.
Чего? Это Вы что нагородили сейчас? Расскажите мне, пожалуйста, каким таким хитрым раком фреймы переходят от порта к порту минуя память? Китайцы, сидящие в коммутаторе, их перекладывают?
Вот, например, пришел фрейм. В какой порт его всунуть - еще неизвестно, коммутатору нужно сотворить unicast flooding чтобы найти порт назначения и передать туда фрейм. Уважаемые знатоки, внимание вопрос: где в этот момент находится фрейм? В заднице у негра? Нет. В памяти.
Вначале фрейм попадает по входной буфер (стало быть помещается в память), затем проверяется FCS фрейма, если фрейм инвалидный - уничтожается, если валидный - по MAC таблице определяется порт или влан куда засунуть фрейм (при необходимости коммутатор выполняет unicast flooding), затем ссылка передается из входного буфера в выходной и фрейм отправляется куда следует. Во время всего этого процесса фрейм хранится в памяти. В тупых коммутаторах обычно используют САМ память. В случае с более умными каталистами использованием TCAM и прочих прелестей прогресса позволяет реализовать "заглядывание" в отдельные L3 поля без "полного анализа" и соответственно получить фильтрацию на скорости близкой к Line Rate.
---------- Добавлено в 02:31 ---------- Предыдущее сообщение было в 02:24 ----------
Чем сервак - не железо?
Тем, что не хардварная обработка пакетов. А (если на пальцах объяснять) прикрученная левой рукой через задницу с драйверами и прерываниям к посреднику ядру, который очень занятой чувак, он обязательно отправит пакет для обработки в процессор, но только уже в понедельник, т.к. сейчас у него обед, а потом встреча. В четверг ему скорее всего вернут результат, так что лучше всего приходите в следующую пятницу - усё будет.
Ну подобного рода флуд (синфлуд) не отфильтровать. В нашем случае мы фильтровали UDP на 3560 со списка IP при DDoS на DNS, после 250го IP свитч умер, слава богу в running-config не попало.
Если сервак выделенный под фильтрацию (память гигабайт 8-12 лучше + 8-12 ядер + хорошие, ХОРОШИЕ сетевые карты с поддержкой трединга (Myri)) то он будет намного лучше и дешевле рутера+файрволла :) + можно будет фильтровать @ line-rate 10гбит, но вот специалиста не найдете, приоритет интерраптов можно нормально распределить кастомными дровами или скедулером.
Ну подобного рода флуд (синфлуд) не отфильтровать. В нашем случае мы фильтровали UDP на 3560 со списка IP при DDoS на DNS, после 250го IP свитч умер, слава богу в running-config не попало.
Вот! С этого и надо было начинать!
Естественно насовывание кучи правил убьет CPU. Вы бы туда еще Full-View запихнули 😂
Я говорил о том, что если игра работает по udp протоколу, то одним единственным правилом можно закрыть TCP. И этот трафик спокойно отфильтруется без ущерба для производительности. Всего лишь. А Вы тут воду мутите и провоцируете меня на бесплатные лекции :)
Если Вам нужен TCP, то да, паразитный SYN от непаразитного свичем разбирать - это идиотизм. Тут ASA нужна или XT'шка. Но отфигачить одним махом весь TCP (предполагается, что TCP не нужен) при помощи свича - запросто.
P.S. Да, вот еще что. Мне очень интересно, а от чего ж у Вас свич умер, если ACLи не попали в running-config? ;)
Тем, что не хардварная обработка пакетов. А (если на пальцах объяснять) прикрученная левой рукой через задницу с драйверами и прерываниям к посреднику ядру, который очень занятой чувак, он обязательно отправит пакет для обработки в процессор, но только уже в понедельник, т.к. сейчас у него обед, а потом встреча. В четверг ему скорее всего вернут результат, так что лучше всего приходите в следующую пятницу - усё будет.
Я конечно понимаю что у железок проц заточен именно под пакеты, а не под общие задачи, но
а) стоимость такого решение на порядки превосходит стоимость серваков способных с этим справится.
б) Такую хрень после атаки нельзя переквалифицировать в обычный сервак.
Если сервак выделенный под фильтрацию (память гигабайт 8-12 лучше + 8-12 ядер + хорошие, ХОРОШИЕ сетевые карты с поддержкой трединга (Myri)) то он будет намного лучше и дешевле рутера+файрволла :) + можно будет фильтровать @ line-rate 10гбит, но вот специалиста не найдете, приоритет интерраптов можно нормально распределить кастомными дровами или скедулером.
Ахинея. Полнейшая.
P.S. Да, и в гигабитах роутинг не меряют. 10Гбит - это может быть ~100KPPS (в случае jumbo фреймов), а может быть 10MPPS (в случае син флуда). В двух этих случаях поведение Вашего софтварного роутера будет разное. Во втором случае он тупо сдохнет на второй секунде флуда и сеть накроет arp storm. Так что не порите чушь, пожалуйста.
P.P.S. Если надумаете таким бредом заняться - попросите, пожалуйста, ДЦ сразу поселить Вас в отдельный VLAN, что бы нормальным людям не портить жизнь :)
Я конечно понимаю что у железок проц заточен именно под пакеты, а не под общие задачи, но
а) стоимость такого решение на порядки превосходит стоимость серваков способных с этим справится.
б) Такую хрень после атаки нельзя переквалифицировать в обычный сервак.
А ДЦ попросить ацлку навесить, не? Обязательно покупать? ;)
А ДЦ попросить ацлку навесить, не? Обязательно покупать? ;)
Как пишет ТС, что-то у ДЦ не получается...
Как пишет ТС, что-то у ДЦ не получается...
Ну тогда в морг к тому у кого получается. А при 1MPPS получится только у того, у кого есть нужная железяка.
Игра работает по tcp, была бы по udp не было бы вопроса такого естественно...
спасибо больше за комментарии, очень многие моменты прояснили для меня, но все равно пока еще в поиске решения...
P.s.
кто-то там заявил чуть выше что может с легкостью фильтрануть 1mpps http-флуда))) Вы вообще представляете что это за атака?, это просто п****ц всему ЦОД-у имхо=) и как может быть http пакет без syn? oO:)
p.p.s
кстати имеется железка WatchGuard FireBox x750e, вообще кто знает что это такое? стоит ли пытаться настроить ее? она сможет фильтровать син-флуд такой(или хотя бы 500kpps)?