По моему опыту, более эффективо ставить индивидуальные защиты на ресурс, чем строить одну большую и мощьную систему фильтрации. Возможно я не прав, т.к. сужу по своим ресурсам (может у кого варёз или файлообменник или прочее, и для них ситуация иная - я не знаю).
И ЦОДом не мочу. Я же говорю - помошники :)
Всё относительно честно. Полиция/милиция конечно могут вопросы позадавать. Тут всё серъёзно. Но моей вины нет. Это факт.
server.it добавил 27.04.2010 в 19:03
Кстати, всем с милицией/полицией акуратнее, т.к. за новый состав преступлений сотрудникам органов быстро дают новые погоны, поэтому они крайне мотивированы.
Спасибо, PRelude, изучу механизм.
Вы знаете, нам нужно больше заимствовать опыта у других людей. Вот лично я, по ходу, наизобретал множество велосипедов.
Всё придумано за нас, нужно только найти и перенять опыт.
Знали бы Вы, сколько я за компом просидел, реализуя сие самостоятельно. Пипец!
server.it добавил 27.04.2010 в 18:38
Я сказал что есть возможность. Я не говорил, ничего по каналы, кроме того, что наш ЦОД на 60гиг. С одной сотки никто не атакует. Ну я таких не знаю по крайней мере.
Дело в том, что у меня за этим следит процесс, который практически не даёт нагрузки на проц. Это тема из области капчи. Т.е. капчу можно не кидать (можно кидать капчу, а можно кидать ip). А вот в случае анализа логов по крону, я не уверен, что это будет так же "безболезненно" для сайтов, с большой посещаемостью.
Проверю, изучу, сообщу.
Я честный человек. Всё, что имею, добился сам, своим трудом.
Но есть некоторые товарищи, которые хотят быстрых денег, и не любят ждать. Вот они и начинают ддос устраивать и флуд.
Даллее, я сказал, что будут помошники. Я не сказал, что буду заказывать ддос.
Я пока сам в состоянии атаковать.
И для этого мне не нужны ботсети, которые рвуться то тут то там антивирями.
И если я и атаковал, то только сервера, атакующие меня, для того, чтобы устранить источник бедтрафа, а не сайты, мнимых заказчиков.
Проблема в том, что атакующие сервера иной раз стоят в стойках провов, которые просто отморозки последние. При попытке договориться прекратить траф, пров отворачивает нос (если вообще отвечает) - мол разбирайтесь сами. Ладно. Сами так сами.
А что остаётся делать? Научите, если знаете как быстро вычислить ЦОД, арендатора сервера/владельца, и что им сказать, чтобы они немедля прекратили хулиганить. Поверьте - это крайние меры. И Вы бы на моём месте сделали то же самое.
Моя текущая задача - нейтрализация ддос и флуда для защиты синглсерверов. Для себя решаю. Не хочу на этом деньги зарабатывать - на то есть профи - допустим тот же кхк, который не рисует сайты и не пишет код за деньги.
Поэтому и искал/ищу людей, у кого есть проблема ддос, но нет денег её решить. Чем смогу - помогу. Ну вот с Вами обсуждаем/спорим. Примерно так истина и рождается.
ГМ, отклоняемся от темы.
Из того, что прочитал по теме, я не согласен с тем, что снифлуд это ерунда. Вовсе нет. Я бы даже сказал далеко не ерунда. Ведь несколько тарабайт в сутки трафа это очч неприятно.
По поводу постройки защиты от волны на 12 гиг: впринципе реально. К нашему ЦОДу подходит шланг в 60 гигабит. Таких ЦОДов немеряно. Почему бы не построить? Другой вопрос: насколько мощьные бывают атаки.
Я много с кем общался на эту тему, не из школьников, скажем так. Самые серъёзные ддос из ныне известных это чуть более 400 мегабит.
Больше сеть пока собрать не получается, и тому много причин (методологию постройки сети, принципы действия, основные участки формирования мы не разбираем, т.к. все кто активно отвечает в этой ветке эту тему знают, насколько можно понять). А если брать с одного или несколькиха айпи, так нехотя можно поднять волну более гигабита (да и много больше). Я даже без особой подготовки это сделаю. Вопрос: будет ли это атака? Ответ: нет. Да и к тому же последствия ждать не заставят.
По поводу отфильтровать гигабитный канал одним сервером, не имеющим иных задач. Одним наверное не получится. Обычный трафик - это обычный трафик. А трафик ддос - это обычный трафик, который нужно правильно анализировать и фильтровать. Так вот если прокачать одним сервером и получится, то анализировать гигабитный ддос будет сложновато. Ну можно конечно предполагать, что это будет очч мощьный сервер, и на нём будет уйма памяти. Однако без практики - это просто слова и не более.
Коль понесло влево от темы добавлю по поводу 20 килоевро за фильтрацию 300ТБ в месяц. Цена вобщем-то реальная, если с учётом скидки. Я не просто так это говорю, а реально рассчитав нагрузку и объём работ.
Опять таки, это цена за качественную защиту, т.е. будут отсекаться и попутные ДДОСы. А так как у нас считается, что антиддос это прикрыть зад сервера циской, а если упадёт, то мол третья сила, форсмажер и не виноваты.
За 20 килоевро должно быть без обломов. Полная фильтрация негативного трафа. Тогда цена адекватная (с учётом скидки). Только лучше бы не на полгода, а месяца на 3, т.к. за это время источник проблемы можно нейтрализовать.
Однако, что касательно лично меня, то мне проще не платить такие деньги, а вычислить источник (благо это всегда получалось до сего момента) и уложить его сервера/ДЦ или даже небольшой ЦОД, т.к. за 20/12 килоевро в месяц у меня будет множество помошников.
Но это всё фантазии не по теме. У ТС есть сервер. Конкуренты, менее сообразительные, менее трудолюбивые, решили испортить жизнь честному вебмастеру. Проявив сообразительность и смекалку, ТС обзовёлся практически самой эффективной и бесплатной защитой от ддос, которой пользуется по сей день.
Остаётся разобрать вопрос по флуду и анализу логов апача, т.к. я лично я не понял, зачем это нужно (если Вы знаете, сообщите, т.к. я реально не понимаю зачем лазать в лог апача).
Ну а юдипи и синфлуд мы будем обсуждать уже другой ветке, когда закончим сие.
У меня не было проблемы с ашттп флудом. Были с юдипи.
Хотя кто что подразумевает под ашттп флудом - постом Вам файлы кидают что ли - это имеете ввиду под ашттп флудом?
Я отвечу развёрнуто максимально, просто я не очч понимаю чего там в апаче нужно такое искать, что бы я не мог зарубить сие иным способом.
В любом случае, опасен юдипи, т.к. при негарантированом прохождении пакета подтрвеждение о доставке не нужно, плюсом скорее всего и так юдипи на сокетах порублено. Вот и налетают тонны трафика.
С нетерпением жду продолжения и теряюсь в дагадках, как это можно применить для борьбы с ддосом)
server.it добавил 26.04.2010 в 20:38
Кстати, вот неплохую текстовочку для московских лежачих АН нашел:
Ведутся технические работы
Наш сервер сильно устал или перегружен запросами.
В любом случае, мы снова скоро будем работать, зайдите, пожалуйста, немного попозже.
Как бы не по теме, про винты, но я чеснослов такого хамства не видел, и видеть не хочу. Уж лучше на 100 уе дороже.
Список урлов полуавтомат, обычно "ручной бан" для малоэффективных. Я ещё много могу чего добавить по этой теме, но пока мы говорим с точки зрения защиты.
В целом то проблема ТС решена, насколько я понял. У него один сервер на 100ке, и лучше защиты, чем у него есть сейчас практически нет, кроме того, что нужно добавить кое что, о чём я подробно писал пару страниц назад.
Наверное, можно сказать, что тема исчерпана. Ну разве что мутное место осталось у ТС по поводу анализа лога апача - я не понял для чего и что это даёт. Тем более не очень понятно как это делать в релтайме - для ддос это важно.
В то то и дело, что не знаешь, сколько его навалит завтра, а сколько послезавтра. А оплачивать то нужно вперёд. Понимаете, о чём я?
Да уж. Жестаки за полгода два раза поменять без файловой нагрузки, это что-то с чем то. Они вообще скази ставят? Или жестаки обычные? Нет, мне правда интересно!
