- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
странный же вы . сначала заявили что conntrack слишком вас грузит, потом рекомендуете этот способ всем.
conntrack грузит. И не просто грузит а валит сетевую карту наглухо, если его забивать черт знает чем.
А в этом случае в contrack будет свои 3-5 тысяч клиентов. А левые в conntrack попадать не будут.
Естественно это не отменяет фильтрации прямой SYN атаки. То есть алгоритм отбитие прямой syn атаки первым правилом, а потом фильтрация !SYN и SYN-ASK на contrack. и все по идее должно работать. У меня так и работало. Только SYN-ASK фильтровал, как в первом посте.
По поводу блокировки списка от 40К ботов.
# route -n | wc -l
492577
# cat /proc/cpuinfo | grep X
model name : Intel(R) Xeon(R) CPU X3470 @ 2.93GHz
Это full view на линукс рутере. Если на ipset или iptables вам виднее.
ipset легко.
iptables
28554
load average: 0.72, 0.71, 0.34
одноядерная vds
Но как уже говорил это неверный путь. Просто странно, что "Сервер - мощный." невыдерживает.
ipset легко.
iptables
одноядерная vds
Но как уже говорил это неверный путь. Просто странно, что "Сервер - мощный." невыдерживает.
И тем не менее, что то мне подсказывает, что поиск в большой роутинговой таблице более эффективен, поскольку это штатный режим BGP рутера. Сегодня full view это пол миллиона записей.
Чем линейный поиск в несортированном списке файрвола.
Хотя в принципе, если 40К хостов держит, это более чем достаточно для большинства атак. Абы мозгов у тазика и канала хватило.
И тем не менее, что то мне подсказывает, что поиск в большой роутинговой таблице более эффективен, поскольку это штатный режим BGP рутера. Сегодня full view это пол миллиона записей.
Чем линейный поиск в несортированном списке файрвола.
Но ведь у conntrack тоже эффективный список.
Не понятно куда вы ведете. И зачем еще full view приплели.
Но ведь у conntrack тоже эффективный список.
Не понятно куда вы ведете. И зачем еще full view приплели.
Да там параллельно был офтоп от Grohotun как забанить 40к хостов.
к SYN атакам это не имеет отношение :) Там баном хостов отбится не получится. :)