Очень хорошая формулировка, меня интересует вопрос сути этой схемы, ведь вы поймите, сейчас вы ищите методику которая будет переключать что-то внутри вашей схемы которая под атакой, посылать клиентов на другие сервера и прочее, дай бог вам конечно успехов в этом деле, подскажу что знаю, НО !! Что вы будете делать потом ? когда найдете это решение ? Ведь оставшаяся часть серверов каким-то образом должна не попадать в правило "Канал мастера конечен и может быть задидошен.". Можно пробовать переключать ДНС, можно пробовать что угодно на самом деле, но когда к вам придет 20.000 ИП адресов разных..... в одну секунду блин, да еще и как бы намеренно-паразитивно... я лично выхода не вижу, разве что разместить свой сервер там где 50 Gb/s не проблема - это в некотором роде панацея. Тогда сам ДЦ сможет фильтровать трафик для вас (либо дать вам такие возможности).... но надо готовить много $$$$---------- Post added at 15:19 ---------- Previous post was at 15:14 ----------
Почему же, я и BGP тему поддержал, если вы хотите, то можете ответить на вопрос заданный Андрейке (тыц).
А че, буквально вчера собирали водопроводный кран китайский и знаете мы с товарищем пришли к одному выводу, что бы кран не тек и были закручен все гайки один из нас должен быть внутри трубы :D
А что делает джунипер или ваша цисочка 72я когда на Uplink 1 GB/s заходит например 5 Gb/s UPD флуда? А то я у себя настроечку не нашел :D---------- Post added at 14:49 ---------- Previous post was at 14:44 ----------
Мне вот чисто интересно, ну вот я представил себе схему, допустим у меня есть две AS, в них уже настроен пиринг куда-то и от меня ждут мои префиксы ,кстати какие ? ну допустим /24. Я настроил prepend-path и удленил его в одну из точек нереально, тоесть весь траф топает в точку А, а точка Б вообще курит, в обеих точках настроен сервер с одним и тем же ИП и даже допустим настроена синхронизация серверов А и Б по сети .... Начинается ДДОС, мне в точке А убивают канал, кто-то из демонов это понимает, дает команду BGP, переключается маршрут в точку Б, действительно за пару секунд..... ну и весь трафик повернулся в точку Б, теперь у меня точка Б под ддосом а точка А курит. В чем смысл?
Добавлю: подумал чуток, возможно путем BGP есть способ передать prepend каким-то отдельным участкам сети , через комьюнити, например что бы какой нить китай к примеру или его основные апстримы видели 1 путь (оттуда к примеру ддос), а Европа например видела другой путь..... но не знаю передадут ли провайдеры комьюнити такие клиентам и будет ли такая схема возможна.
Честно говоря даже теоретически не представляю как такое может быть... Как могут быть мощностя соизмеримы атакам или наоборот? Задача атакующего - положить ресурс, он задействует все ресурсы которые у него есть, предварительно просчитать атаку невозможно ..... В этом случае либо получится что все 10 серверов будут стоить много денег, а атака будет 1 в полгода...... либо же не будет рентабельности по количеству обслуживаемых точек и выхлопа с общего проекта.---------- Post added at 14:42 ---------- Previous post was at 14:41 ----------
Поддерживаю!
Вы знаете , насчет электричества... штука странная , у меня вот домашний роутер аптайм 166 дней имеет :D Чем вам не датацентр? Вы не подумайте главное что в UA свет отключают пару раз в сутки что бы долги выплачивать )))))) Я больше склонен полагать что батарей нет, в тех местах о которых вы говорите ))))) Либо же в том месте где стоят все сервера печальная подстанция, однако мой домашний роутер не тянет столько ватт сколько ДЦ, может проблема там в этом, перегрузки и прочее, но честно вам скажу, проблем со светом в UA не наблюдаю, может где-то там в пригородных районах.... вполне, а в Киеве, Харькове....... Все пучком, у меня кстати сервер 1 стоит в DG (Киев), так вот на нем аптайм уже > 300 дней :D Вы просто место выбрали неудачное IMHO :) Ну а что касается "мух в голове" )))) у Суппорта, так простите )))) такое может быть в любой конторе не зависимо от континента и вероисповедания :D---------- Post added at 14:34 ---------- Previous post was at 14:32 ----------
Ну так я ж приводил пример стабильности )))) я думаю что на выборах по прежнему процентов 40-50 будет за путина без фальсификации :D ... Я бы тоже лучше в Украине 4 раза за Кравчука проголосовал )))) но реально то понимаю это только сейчас :D Я лично считаю что в Украине надо "стабилизировать правительство".... они блин за последние пару лет наверное раз 20 с кресла на кресло перепрыгнули и из партии в партию. Надо поддерживать Януковича и на след. выборах, так по крайней мере после выборов не начнут воровать новые правители, а старых условно можно считать "наворовавшимися".
Однако да!!! Как-то не подумал :D---------- Post added at 20:19 ---------- Previous post was at 20:16 ----------
Я плачу :D Мы ходим вокруг чего-то непонятного, я до сих пор не понял что вы хотите ? панацею? :) Ну не будет же :D Давайте теперь предположим, что досить начали ваши умные DNS сервера которые там всех опрашивают и всем все рассказывают :D
Это как :D :D :D простите ?:)---------- Post added at 20:12 ---------- Previous post was at 20:10 ----------
Сильно сказано !!! Минуту ржу :D А она для чего-то кроме хостинга стабильная :D ?:) стабильность это вообще штука тонкая, как понять что такое стабильно ? Вот например я могу стабильно раз в день найти на помойку 1 бутылку , благо я точно её найду.... )))))) и стабильно каждый день сдавая её получать 20 копеек :D С точки зрения стабильности я стабилен пепец как :D ..... )))) Сложнее каждый день зарабатывать 1k$ согласитесь... тает слово "стабильность" на глазах :D
zexis,
На сколько я понимаю , даже если вы в DNS поставите недопустимо мизерный TTL и укажете Name Servers для домена по вашей схеме..... вы все равно будете получать задержки в "переходе" клиентов с упавших на работающие сервера. Обусловлено это будет кешами по всему пути от клиента до ваших ДНС, не будем внедряться в подробности , это не суть важно по моему, достаточно понимать что ДНС обновить моментально невозможно для всего мира... для внутренней сети еще может быть, если везде все правильно настроить :D
Тут в ваших формулировках кроется некий двоякий смысл, если вы употребляете слово "фильтровать", то это означает что какая-то часть трафика будет таки куда-то проходить , а паразитивный трафик будет помирать в этой точке. При такой формулировке я вообще проблемы не вижу, зачем придумывать какие-то DNS и прочее, делайте redirect (или "проксируйте запрос") куда надо, если ваша "точка" может отфильтровать входящий поток и разобрать его на составляющие по вашему фильтру, а что делать если поток > чем ваш Uplink ? Тут уже слово фильтр становится не уместно, будет лежать, причем плотно и долго.. и никак вы ничего не пофильтруете на локальном уровне, может быть в содействии с Upstream ... но это не автоматика. Да и как бы суть то какая, все равно вам придется засветить какую-то часть ИП, пусть даже основного IP никто никогда и не узнает, разве от этого лечге? Ну будет лежать не ваш сервер который мега спрятан, а те публичные которые проксируют запросы, результат один - сайт не доступен. :( Да и себестоимость понимать надо, фильтр - означает что провайдер будет принимать ваш трафик...... т.е платить за него фактически, будет не дешево "сидеть под атакой" :D
Тут весьма скользок вопрос, что вы хотите получить в конце, никто же не мешает злоумышленнику бомбить ВСЕ точки сразу? :)---------- Post added at 06:35 ---------- Previous post was at 06:33 ----------
Тем про DDOS много, фильтровать по сути могут те, у кого достаточные каналы для этого, вот и все :D Обращаться можно к любому провайдеру который имеет каналы большие чем "сила атаки", а там договоритесь, я уверяю. К примеру если у вас на сервер 100mb/s канал заходит, то на свиче или роутере который по топологии выше я могу отфильтровать ну как бы до 99 mb/s (для примера) а 1 mb/s передавать на сервер, но если ко мне начнет заходить > 100Mb/s то у меня уже не хватит канала для фильтра и по факту я сам под ддосом в таком случае оказываюсь :D
А вы каким-то образом хотите влиять на настройки DNS кеша у провайдера за которым сидит ваш посетитель ?---------- Post added at 06:21 ---------- Previous post was at 06:20 ----------
Потому что если из 10 серверов 5 будут по ддосом, то у посетителей с вероятностью 50/50 будет открываться сайт, ибо по DNS записям они будут попадать на сервера которые фактически не могут ответить.
Хорошо, попробуем по другому, кто за сколько заберет сервера? :D
