- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
На мой взгляд - в целом вообще то не правильно отбивать атаки iptables, это программный фильтр, существующий для защиты, не более. Если атаки действительно велики - то имеет смысл присмотреть аппаратные решения. Так как - человеко-часы на настройку и т д - не окупятся в итоге. ТС лучше бы посмотрел в сторону какого-нибудь juniper'а mx240, цисочки 7200 ...
из лирики: когда был на дворе 2000год, я тогда работал в провайдинге, был бум пионер-LAN'ов, линукс-маршрутизаторов с кучей сетевух. Шеф болел той же идеей, на всех чердаках понаставить коробок с линуксом в антивандальных ящиках. Все таки поборол ... центральным маршем купили цисочку 26ую... 30мбит умела роутить с ip cef , 10 без ip cef, пару часов настройки ....и ..... - работает до сих пор на маленьком участке сети. Прошли уже времена линуксов с кучей правил. Железяка, несколько каналов и все проблемы решены. да, дорого, но окупиться в итоге и с запасом на несколько лет. и, кстати - перспективы серьезно развить бизнес антиддос. Но у нас же как всегда....... хочется вложить 1000 долларов и получить 1000% выхлопа...
а так - предложенная ТС схема в начале имеет место на жизнь, чуть поменьше TTL и все ок. такие схемы работают.
zexis
Чем Вас аппаратная фильтрация с отфильтрованным каналом 100Мбит не устраивает?
Угадали, у меня математическое образование
Похоже, школьное.
Строго рассуждать и доказывать теоремы вас приучили, но почему-то с задачами наилучшего выбора не познакомили.
Для того чтоб выбрать оптимум надо иметь критерии
В задачи их просто нет
Похоже, школьное.
Строго рассуждать и доказывать теоремы вас приучили, но почему-то с задачами наилучшего выбора не познакомили.
Да вот не школьное. Я вообще преподаватель математики/информатики по образованию :)
Вы правы на тему задач наилучшего выбора, но здесь, я бы нашёл более надёжный метод.
BGP однако
Однако да!!! Как-то не подумал :D
---------- Post added at 20:19 ---------- Previous post was at 20:16 ----------
Верное замечание.
Можно пойти и таким путем.
Поставить продвинутые ДНС сервера, которые будут опрашивать сервера, обнаруживать те, которые работают и выдавать клиентам в качестве А записи только работающие сервера.
Но здесь остается та же проблема.
Если клиент уже получил в качестве А записи IP работающего сервера, потом этот сервер перестает быть доступен, то как сделать что бы клиент с минимальной задержкой снова обратился к ДНС серверу и получил А запись другого доступного сейчас сервера?
Мы предполагаем, что заддосить одновременно сразу все фильтрующие сервера атакующий не сможет.
Если все таки заддидосит все, то можно оперативно добавить новые сервера.
Проблема лишь в том, что бы клиенты без задержек переходили на работу с новыми серверами и не тратили время к обращению к тем канал которых задидошен.
Я плачу :D Мы ходим вокруг чего-то непонятного, я до сих пор не понял что вы хотите ? панацею? :) Ну не будет же :D Давайте теперь предположим, что досить начали ваши умные DNS сервера которые там всех опрашивают и всем все рассказывают :D
Давайте теперь предположим, что досить начали ваши умные DNS сервера которые там всех опрашивают и всем все рассказывают
Так их не заддосить.
В этой схеме dns-сервера совпадают с фильтрующими точками. Предполагается, что серверов арендовано соразмерно атаке.
а такой вариант:
http://www.ashep.org/2011/nginx-balansirovka-nagruzki/
а такой вариант:
http://www.ashep.org/2011/nginx-balansirovka-nagruzki/
В случае ддоса этот вариант ни чем не отличается от одного единственного сервера, забьют канал до балансировщика udp флудом и все точно так же встанет.
Применение BGP сильно расширит варианты решения проблемы. Появится возможность быстрее сообщать клиенту на какой из серверов ему идти.
В случае ддоса этот вариант ни чем не отличается от одного единственного сервера, забьют канал до балансировщика udp флудом и все точно так же встанет.
Применение BGP сильно расширит варианты решения проблемы. Появится возможность быстрее сообщать клиенту на какой из серверов ему идти.
ну а кто вам мешает сделать 2 мастера и между мастерами сделать еще балансировку?
к тому же мастер перенаправляет запрос и на этом его функция заканчивается, все остальное делают слейвы
PPS BGP как раз в этом случае не панацея