Здравствуйте форумчане. Как можно защитить сервер от syn флуд атак?
Увеличил лимиты на сервере:
echo "20000" > /proc/sys/net/core/somaxconn
net.ipv4.tcp_syncookies = 1
Добавил правила в файрвол:
Частично помогло. Если сервер не падает сразу то с продолжительности атаки более 1 минуты отказывается принимать новые запросы. Как можно решить эту проблему на стороне сервера? Возможно ка кто задать лимиты на каждый ип а не на весь сервер?
ап
уменьшил лимиты
-A syn_flood -m limit --limit 10/sec --limit-burst 50 -j RETURN
Не помогло. Висят 2 полуоткрытых соединений на порту где работает сервис. Сам сервис недоступен. Закрыл 2 соединения всё заработало. Как эти лимиты работают не понимаю.
Просто обратитесь за сервисом зашиты в профильные организации, и крайне не рекомендую использовать реселлеров. Просто заплатите больше и в лучшем случае получите то же качество, в худшем более низкое.
ddosguard,stormwall,servicepipe,srvgame,myarena,team-host,megafon,РТ,mts,ТТК, QRATOR
больше сервисов защиты в РФ НЕТ, все остальные просто перекупы.
Выши слова противоречат здравому смыслу. Аукционы на то и нужны чтоб закупки были более открыты.
Да заходишь в гугл и выбираешь поставщика, в том числе и среди тех кто аукционы проводит. А если Вы не в силах или слишком ленитесь то конечно проще на форуме торохтеть что аукционы - это все плохо покрывая свою лень и немощь.
Именно о этом я и говорил, когда писал фразу про некомпетентного админа с розовым миром строгой типизации и полиморфизма.
На сим не буду больше тратить свое время.
Как это рыночные покупатели не устраивают конкурсы? Еще как устраивают! Заявзяйся кто хочет. Все открыто и прозрачно. В этом и смысл! А Вам все в темную подавай?
Не хотите продавать свои услуги? тогда конечно, держитесь по дальше от и от госов и от аукционов и от покупателей)
Камиль, вы живете в своем розовом мире с понями и бабочками ? Самые темные гнусные ненадежные рисковые дела именно с гребанными госами и тендерами.
Весь рынок живет в свободном плавании, заходишь в гугл и выбираешь ЛЮБОГО поставщика. Заключаешь прямой договор на любых условиях на которые вы договорились и спокойно работаете БЕЗ мозгоклюйства и некомпетентных админов , которые ищут участников конкурса который еще не объявлен и не известен даже предмет конкурса.
Рыночные цены работают с рыночными покупателями.
Рыночные покупатели не устраивают конкурсы на закуп услуги в 1 сервер.
Кстати наглядный пример почему от госов нужно держаться подальше в посте выше. 🤣
Если мы зайдём на сайт Hetzner и посмотрим пиринги, которые они используют и список транзитных провайдеров, станет ясно, что там присутствует тот же GTT, а он стоит (себестоимость для Hetzner) - 3000-5000 евро за 10 гигабит, с учётом того объема, который они берут.
Я не верю в flat 1 Гбит / с по 30 евро, такого не бывает и быть не может. Такой цены нет даже на трафик у Cogent при терабитных объемах. А есть еще внутрисеть дата-центра, которую нужно содержать, мониторить и улучшать.
Я готов вам предоставить сколько угодно канала но не менее 10Git по цене 4000$ (именно долларов а не евро) за 10Gbit в РФ (москва) с оплатой в рублях и привязке цены к рублю. Без ограничения по объему трафика и по направлениям, без деления СНГ/МИР/что то локальное.
Отдам как с ММТС9 так и с ряда ЦОД москвы.
Вы верно заметили, всё дело в объемах и в вашем бренде. Когда вы мировой гигант "хетзнер" вам охотнее идут на уступки. Когда вы приходите в телиа и просите продать вам 500Gbit цена тоже приятно удивит. (а если еще и на долгосрок подпишитесь.. ууууу) ОСОБЕННО когда вы трафикогенератор aka хетзнер. Для трафикогенераторов у магистралов идет своя математика, как правило она на 20-30% опускает цену относительно цены за тот же объем для традиционного оператора связи или какой нить ноунейм компании.
Зачем же так грубо?) Вас кто то обидел?
1. "потом увидеть 10 мошенников сбивающих цену" - глупости, мы пытались проводить аукцион, не заявился никто, ни хистеры, ни мошенники.
2. Почему год без оплаты? - опять глупости, у нас с оплатой всегда порядок, очень странно вы говорите)
3. Аукцион как раз уменьшает поле для инсенуаций и подозрений. К тому же от вас то какая отчетность может понадобиться?
4. При чем тут министерство образования? Я работаю в муниципальном образовании - это так город с окружающими поселками называют)
5. Да хоть в росстелеком, как туда пройти не подскажете?
В самом ответе содержится источник обиды. Вот всё что я описал это уже фактически пройденный этап.
про пункт 4 понял, извините ошибся.
а у них НЕТ БЮДЖЕТА на это.
Понимаешь бро? в этом и кейс данного господина.
Он тут уже не первый год ищет новобранцев кто еще не работал с уважаемой структурой РФ.. такой как министерство образования.
Уважаемые компании , такие как сберклауд, даталайн, корус. Просто не участвуют в тендерах муниципальных.
Что за ерунду ты пишешь?)
вредные советы как решить квартирный вопрос.
оформляешь на себя контору, продаешь услуги своему работодателю госструктуре. Садишься за решетку по 2-3 статьям лет на 4-5.
халявная хата и хавка.
Профит :)
т.е. вы предлагаете нам потратить деньги на заявку на аукцион, потом увидеть 10 мошенников сбивающих цену, за тем оказывать вам услугу ГОД без оплаты а потом еще 3 года судиться с вами что бы вы оплатили счет?
потому что у вас как обычно не было выделено средств на оплату услуг хостинга ?
Получить небывалый геморой из за вашей тотальной отчетности (вы же гос), получить стопицот проверок на предмет отсутствия мошеннических схем по выводу баснословных копеек из казны?
Да видали мы эти тендеры с министерством образования в АДУ.
С своими тендерами на хостинг гос структур вам прямая дорога в "госпетухком" (росстелеком)
Проблемные это ведь не тоже самое что "нищеброд". Вероятно имелся ввиду другой контекст.
Вот например у нас специализация: трафико генераторы СНГ (минимальный тариф для генераторов ОТ 10Gbit) и antiddos сервис.
Своей целевой аудитории мы отдаем сервера практически без прибыли , но зарабатываем на каналах. И вот если бы у нас минимальный (вкусный) тариф не начинался бы от 10Gbit, то к нам побежали бы многие клиенты за дешевым железом, при этом , не взяв достаточного "канала" он оказался бы для нас проблемным. Не потому что он плохой а потому что он не приносит нам прибыль. На него потрачен лимитированный ресурс а запланированная прибыль не получена, в итоге этой железки может не хватить клиенту который хотел бы купить 100G.
