Защита от DDoS, оптимизация серверов, highload

Avatar 523
#31
Evas:

При таком количестве ляжет не только служба, а сам сервер просто перестанет отвечать. :)
У каждой сетевой карты есть определённые пропускные возможности, и они также ограничены. Всё зависит от мощности процессора, а также самой карты.
В основном обычные рядовые сетевушки, которые устанавливает тот же Hetzner и другие подобные ему ДЦ не пропускают более 110-150кппс.
При наличии нескольких более мощных процессоров, пропускная способность будет увеличина. Но опять таки 500кппс это довольно много, чтобы пропустить
такое необходимо очень мощное железо, а также навороченные сетевые карты.

карточки там переваривают и 500, а вот сам хецнер начинает ругаться и ip рубит на автомате.

---------- Добавлено 18.06.2012 в 00:13 ----------

Evas:

Если подобный трафик на сервере не нужен, то он попросту блокируется.
В противном случае на него также ставятся опр. лимиты, по превышению которых срабатывает защита.

да нет разницы блокировать его или нет на сервере, udp это много трафа за дешего.

Avatar 81
#32
карточки там переваривают и 500

Готов с вами поспорить. На своём опыте при 148кппс сервер практически не отвечал.

Причём, ко всему этому, на сервере были отключены все службы, а также заблокированы атакуемые порты.

Трафик доходил до сетевой карты в любом случае, причём такое кол-во она не переваривала

а вот сам хецнер начинает ругаться и ip рубит на автомате

На меня сильно не ругались, но вот когда подобная ситуация продлилась более суток, к тому же был наглухо забит канал - ип адрес был заблокирован

да нет разницы блокировать его или нет на сервере, udp это много трафа за дешего.

Если сила трафика не превышает пропускную способность, то блокировать его как раз таки имеет смысл не подпуская его к службе. Но в любом случае до сетевой карты он дойдёт, далее отсечётся файрволом.

Системный администратор Linux. Настройка, сопровождение и оптимизация серверов. Отзывы - searchengines.guru/ru/forum/1017473
Avatar 523
#33

если сервер перестал отвечать то это не значит что именно карта загнулась.

на сервере хецнера за 300kpps можно выжить если не залочат сразу(( нарыл такое

Direction IN

Internal *.*.*.*

Threshold PacketsDiff 50.000 packets/s, Diff: 299.140 packets/s

Sum 89.742.000 packets/300s (299.140 packets/s), 1.082 flows/300s (3 flows/s), 2,424 GByte/300s (66 MBit/s)

External 217.170.66.139, 21.369.000 packets/300s (71.230 packets/s), 20 flows/300s (0 flows/s), 0,577 GByte/300s (15 MBit/s)

External 216.155.132.102, 10.510.000 packets/300s (35.033 packets/s), 40 flows/300s (0 flows/s), 0,284 GByte/300s (7 MBit/s)

External 124.16.144.65, 10.024.000 packets/300s (33.413 packets/s), 95 flows/300s (0 flows/s), 0,271 GByte/300s (7 MBit/s)

External 178.237.35.89, 8.213.000 packets/300s (27.376 packets/s), 45 flows/300s (0 flows/s), 0,222 GByte/300s (6 MBit/s)

External 118.220.173.248, 7.683.000 packets/300s (25.610 packets/s), 55 flows/300s (0 flows/s), 0,208 GByte/300s (5 MBit/s)

External 184.154.251.186, 6.604.000 packets/300s (22.013 packets/s), 35 flows/300s (0 flows/s), 0,178 GByte/300s (4 MBit/s)

External 108.163.178.186, 4.279.000 packets/300s (14.263 packets/s), 54 flows/300s (0 flows/s), 0,116 GByte/300s (3 MBit/s)

External 202.53.64.153, 4.186.000 packets/300s (13.953 packets/s), 65 flows/300s (0 flows/s), 0,113 GByte/300s (3 MBit/s)

.................

Direction IN

Internal *.*.*.*

Threshold PacketsDiff 500.000 packets/s, Diff: 527.110 packets/s

Sum 158.138.000 packets/300s (527.126 packets/s), 989 flows/300s (3 flows/s), 4,271 GByte/300s (116 MBit/s)

External 108.166.94.132, 12.412.000 packets/300s (41.373 packets/s), 13 flows/300s (0 flows/s), 0,335 GByte/300s (9 MBit/s)

External 85.192.33.56, 10.982.000 packets/300s (36.606 packets/s), 19 flows/300s (0 flows/s), 0,297 GByte/300s (8 MBit/s)

External 93.157.232.40, 9.414.000 packets/300s (31.380 packets/s), 19 flows/300s (0 flows/s), 0,254 GByte/300s (6 MBit/s)

External 1.214.194.50, 8.766.000 packets/300s (29.220 packets/s), 5 flows/300s (0 flows/s), 0,237 GByte/300s (6 MBit/s)

External 193.193.198.40, 8.230.000 packets/300s (27.433 packets/s), 19 flows/300s (0 flows/s), 0,222 GByte/300s (6 MBit/s)

External 178.159.253.69, 7.752.000 packets/300s (25.840 packets/s), 19 flows/300s (0 flows/s), 0,209 GByte/300s (5 MBit/s)

External 70.87.134.34, 7.625.000 packets/300s (25.416 packets/s), 19 flows/300s (0 flows/s), 0,206 GByte/300s (5 MBit/s)

External 122.201.66.40, 6.270.000 packets/300s (20.900 packets/s), 19 flows/300s (0 flows/s), 0,169 GByte/300s (4 MBit/s)

External 211.115.127.133, 4.904.000 packets/300s (16.346 packets/s), 18 flows/300s (0 flows/s), 0,132 GByte/300s (3 MBit/s)

External 110.45.166.100, 4.662.000 packets/300s (15.540 packets/s), 19 flows/300s (0 flows/s), 0,126 GByte/300s (3 MBit/s)

External 178.237.35.89, 4.167.000 packets/300s (13.890 packets/s), 13 flows/300s (0 flows/s), 0,113 GByte/300s (3 MBit/s)

External 195.137.202.149, 3.926.000 packets/300s (13.086 packets/s), 19 flows/300s (0 flows/s), 0,106 GByte/300s (2 MBit/s)

...........

по поводу udp, чего там блокировать если на рандом порты + чаще всего канал забъют полюбак т.к дешево, даже нечего возится если нет возможности закрыть до сервера.

хецнер и udp ddos = печалька.

Avatar 81
#34

Утверждать не буду, но подозрения были именно на сетевую карту, т.к канал был практически свободен (всего на 10% использовался).

хецнер и udp ddos = печалька.

Они его не любят, хотя договорится можно, но всё в разумных пределах...

чаще всего канал забъют полюбак

Повторюсь, речь идёт именно о той ситуации, в которой пропускная способность не превышена.

В противном случае ставить что-то на сервер не имеет смысла. Необходимо принять более радикальные меры...

P.S - Тема не для обсуждения конкретных ДЦ, прошу не флудить. Спасибо

Avatar 81
#35

Продолжаю работу...

Avatar 169
#36

Ребята, если кто-то будет утверждать, что в Hetzner реально отбить по-настоящему мощный DDoS, то как минимум - это инсинуация. На 30kpps придет уведомление об атаке, а на 50-100k pps полная блокировка порта, которая осуществляется по триггеру, который срабатывает на сетевом оборудовании ДЦ и никакими программными решениями, подчеркиваю, никакими Вы не уменьшите pps на бордер-роутере.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
Avatar 81
#37
никакими программными решениями, подчеркиваю, никакими Вы не уменьшите pps на бордер-роутере.

А такого никто и не утверждал.

100k pps полная блокировка порта

По своему опыту скажу, Hetzner отключат только в том случае, если такая атака продлится около суток.

Ребята, если кто-то будет утверждать, что в Hetzner реально отбить по-настоящему мощный DDoS, то как минимум - это инсинуация.

Опять таки, этого никто и не утверждает. Вообще тема создана не для обсуждения конкретных ДЦ, я настоятельно прошу не флудить!

K 223
#38
Pavel.Odintsov:
... и никакими программными решениями, подчеркиваю, никакими Вы не уменьшите pps на бордер-роутере.

но можно из атаки 20kpps рисовать красивый график на 3mpps-а... клиент по факту не знает же сколько там ☝

проверенная ддос защита (http://ddos-protection.ru) -> http://ddos-protection.ru (http://ddos-protection.ru), бесплатный тест, цена от размера атаки не зависит.
Avatar 81
#39

Моя система ставится конкретно на сервер, стоять он может где угодно. Это уже по вашему выбору.

P.S. - а своим клиентам Hetzner я рекомендовать не стану. Есть другие, более достойные дц.


но можно из атаки 20kpps рисовать красивый график на 3mpps-а... клиент по факту не знает же сколько там

Лично я предоставляю клиенту полную отчётность, а также показываю как самому можно проверить мощность атаки.

Никакие графики не нужны, всё делается достаточно легко с помощью нескольких команд.

G 22
#40

Посмотрел все сообщения Evas - вывод, я думал на этом форуме более компетентные люди сидят, да нет. Ребята "кнопка минус к репутации сделана не ради забавы" поймите. ;)

По теме: общался с данным человеком, заказывал защиту на сервер - для проверки. Показала хорошие результаты. От большинства DDoS атак, подойдет.

Тсу - плюсик.

Разрабатываю CMS и рекомендую хостинг (/ru/forum/808250) устойчивый к ддос атакам.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий