- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
ну а кто вам мешает сделать 2 мастера и между мастерами сделать еще балансировку?
к тому же мастер перенаправляет запрос и на этом его функция заканчивается, все остальное делают слейвы
PPS BGP как раз в этом случае не панацея
master - master - на чём реализуется ?
PPS BGP как раз в этом случае не панацея
Это потому как вы не шарите в bgp, поэтому будем ляпить мастер-мастер ?
master - master - на чём реализуется ?
Это потому как вы не шарите в bgp, поэтому будем ляпить мастер-мастер ?
это все рашается гиксом
про BGP я имел ввиду что получаются те же грабли что и связки мастер-слейв, я сказал что не панацея, но не сказал что это плохое решение,каждый делает как ему удобнее
Предполагается, что серверов арендовано соразмерно атаке.
Честно говоря даже теоретически не представляю как такое может быть... Как могут быть мощностя соизмеримы атакам или наоборот? Задача атакующего - положить ресурс, он задействует все ресурсы которые у него есть, предварительно просчитать атаку невозможно ..... В этом случае либо получится что все 10 серверов будут стоить много денег, а атака будет 1 в полгода...... либо же не будет рентабельности по количеству обслуживаемых точек и выхлопа с общего проекта.
---------- Post added at 14:42 ---------- Previous post was at 14:41 ----------
Применение BGP сильно расширит варианты решения проблемы. Появится возможность быстрее сообщать клиенту на какой из серверов ему идти.
Поддерживаю!
Просто bgp гарантирует смену ip на уровне сервера
А dns домен на уровне ip, да и кеширование провайдером опять же
На мой взгляд - в целом вообще то не правильно отбивать атаки iptables, это программный фильтр, существующий для защиты, не более. Если атаки действительно велики - то имеет смысл присмотреть аппаратные решения. Так как - человеко-часы на настройку и т д - не окупятся в итоге. ТС лучше бы посмотрел в сторону какого-нибудь juniper'а mx240, цисочки 7200 ...
из лирики: когда был на дворе 2000год, я тогда работал в провайдинге, был бум пионер-LAN'ов, линукс-маршрутизаторов с кучей сетевух. Шеф болел той же идеей, на всех чердаках понаставить коробок с линуксом в антивандальных ящиках. Все таки поборол ... центральным маршем купили цисочку 26ую... 30мбит умела роутить с ip cef , 10 без ip cef, пару часов настройки ....и ..... - работает до сих пор на маленьком участке сети. Прошли уже времена линуксов с кучей правил. Железяка, несколько каналов и все проблемы решены. да, дорого, но окупиться в итоге и с запасом на несколько лет. и, кстати - перспективы серьезно развить бизнес антиддос. Но у нас же как всегда....... хочется вложить 1000 долларов и получить 1000% выхлопа...
а так - предложенная ТС схема в начале имеет место на жизнь, чуть поменьше TTL и все ок. такие схемы работают.
А что делает джунипер или ваша цисочка 72я когда на Uplink 1 GB/s заходит например 5 Gb/s UPD флуда? А то я у себя настроечку не нашел :D
---------- Post added at 14:49 ---------- Previous post was at 14:44 ----------
Просто bgp гарантирует смену ip на уровне сервера
Мне вот чисто интересно, ну вот я представил себе схему, допустим у меня есть две AS, в них уже настроен пиринг куда-то и от меня ждут мои префиксы ,кстати какие ? ну допустим /24. Я настроил prepend-path и удленил его в одну из точек нереально, тоесть весь траф топает в точку А, а точка Б вообще курит, в обеих точках настроен сервер с одним и тем же ИП и даже допустим настроена синхронизация серверов А и Б по сети .... Начинается ДДОС, мне в точке А убивают канал, кто-то из демонов это понимает, дает команду BGP, переключается маршрут в точку Б, действительно за пару секунд..... ну и весь трафик повернулся в точку Б, теперь у меня точка Б под ддосом а точка А курит. В чем смысл?
Добавлю: подумал чуток, возможно путем BGP есть способ передать prepend каким-то отдельным участкам сети , через комьюнити, например что бы какой нить китай к примеру или его основные апстримы видели 1 путь (оттуда к примеру ддос), а Европа например видела другой путь..... но не знаю передадут ли провайдеры комьюнити такие клиентам и будет ли такая схема возможна.
ну а кто вам мешает сделать 2 мастера и между мастерами сделать еще балансировку?
к тому же мастер перенаправляет запрос и на этом его функция заканчивается, все остальное делают слейвы
Как клиент будет определять к какому мастеру обратиться?
Канал мастера конечен и может быть задидошен.
Как клиент узнает, что к не доступному мастеру обращаться не нужно?
В этом случае либо получится что все 10 серверов будут стоить много денег, а атака будет 1 в полгода...... либо же не будет рентабельности по количеству обслуживаемых точек и выхлопа с общего проекта.
ага. но если бы читали zexis, то понимали что речь идет даже о специализированном сервисе.
Ну первое время тяжело придется, потому что совет "это можно сделать с помощью BGP" никакого конкретного плана в себе не содержит. Нужно еще знать что именно нужно делать. Вот Romka_Kharkov слово BGP вроде бы знает, но какую-то ерунду пошел развивать.
А что делает джунипер или ваша цисочка 72я когда на Uplink 1 GB/s заходит например 5 Gb/s UPD флуда? А то я у себя настроечку не нашел
она мрет. как и раньше мерла в 2000-ых года соплежуйка 2600-ая. А у меня умирала "что вы ! это же маршрутизатор операторского класса 3640!" в то время как обычный сервер все спокойно блокировал.
Разумеется арендуя сервера в разных точках ДЦ добиться того, что трафик ддос не будет сходиться в одну точку и тем самым спасти маршрутизаторы.
Для идеальности тут помоему надо решать на уровне железа и полосы, а тот вариант что уже предложен, достаточно хорош, TTL до минимума и всё, некоторые провайдеры его примут, можно ещё с задосенного сервера слать клиента редиректом на второй домен который также отображает нужный сайт ;)
А вообще есть достаточно предложений в европе с возможностью активировать фаервол через их роутер для отсейки досов, за доп плату конечно. Из мне знакомых 1&1 и ovh. Достаточно неплохо фильтрируют атаки "типа" UDP flood в hetzner.de.
PS > ДАЁШЬ ПОЛОСУ 100ГБИТ чтоб часть инета через неё фильтровать )))))) тоже решение)
Канал мастера конечен и может быть задидошен.
Очень хорошая формулировка, меня интересует вопрос сути этой схемы, ведь вы поймите, сейчас вы ищите методику которая будет переключать что-то внутри вашей схемы которая под атакой, посылать клиентов на другие сервера и прочее, дай бог вам конечно успехов в этом деле, подскажу что знаю, НО !! Что вы будете делать потом ? когда найдете это решение ? Ведь оставшаяся часть серверов каким-то образом должна не попадать в правило "Канал мастера конечен и может быть задидошен.". Можно пробовать переключать ДНС, можно пробовать что угодно на самом деле, но когда к вам придет 20.000 ИП адресов разных..... в одну секунду блин, да еще и как бы намеренно-паразитивно... я лично выхода не вижу, разве что разместить свой сервер там где 50 Gb/s не проблема - это в некотором роде панацея. Тогда сам ДЦ сможет фильтровать трафик для вас (либо дать вам такие возможности).... но надо готовить много $$$$
---------- Post added at 15:19 ---------- Previous post was at 15:14 ----------
ага. но если бы читали zexis, то понимали что речь идет даже о специализированном сервисе.
Ну первое время тяжело придется, потому что совет "это можно сделать с помощью BGP" никакого конкретного плана в себе не содержит. Нужно еще знать что именно нужно делать. Вот Romka_Kharkov слово BGP вроде бы знает, но какую-то ерунду пошел развивать.
Почему же, я и BGP тему поддержал, если вы хотите, то можете ответить на вопрос заданный Андрейке (тыц).
Мачить тузиков ;)