Верно, примерно до 3/4 от пропускной шланга можно ещё что-то делать.
Ещё как важно! Обычно профессиональный ддос ходит бок о бок с флудом. И поэтому далеко не факт, что хороший антиддос справиться с таким флудом. Пиринги то соблюдает любой ЦОД, что наш, что забугорный.
Если я заказал фуру, для того, чтобы перевести один 100 кг на 10 метров, то я буду оплачивать полную стоимость услуги фуры, ведь ей без разницы, погрузил я 30 тонн или 1 кг.
Должны быть промежуточные звенья.
И должны быть те, кто за 50 защитит. Ну по крайней мере если не справляются, то искать тех, кто подороже будет.
Да где бы там. Всё чаще, и всё больше. Если бы это было редкое явление, стал бы я тут обсуждать с Вами пустой звук?
300 Тарабайт - для меня трафик. А кто это по 2000 ТБ даёт бесплатно - скажите, неразумному, где очередь занять)
Это само собой, но за траф то нужно будет отчитаться. Допустим, за 300 ТБ. 150 у.е. в месяц хватит чтобы закрыть такой флуд? Если да, то я первый в списке Ваших клиентов!
Я тут недавно познакомился с парнишкой, у него оч крупный хостинг, входит в 20ку крупнейших в России. Разговорились на тему флуда. Ну и речь зашла про буфер под флуд. Он сказал что сможет вытерпеть до 320-350 ТБ флуда в месяц. И тут же добавил, что его буфера бывает мало. Он антиддос не предлагает. Не по зубам.
Я это понимаю. Долго Вы сможете принимать флуд по 4-5 ТБ в сутки? Хорошо, если долго. Некоторые просто отказываются - нафиг им это не нужно.
server.it добавил 26.04.2010 в 17:57
Причём этот тот траф, с которым я боролся. А ведь есть и куда большие показатели.
Я не спорю, 50К нагнут сервер. Я говорю, что 50к ботсеть не поднимет волну в 1Гиг.
Хотя если в теорию: наращиваем память по куда можно (у меня можно в мать 64 ткнуть), далее очередь делаем офигенно бесконечную. 50 к начинают валить по 4 коннекта с носа. Получаем список всех, кто хочет больше 3-х коннектов и шлём их лесом. В теории можно выстоять. Ну конечно и процы должны быть не селерон 1.7 :)
Устойчивость системы это дело тонкое. У кого-то система падает при la 50. Сегодня я пример приводил кстати. Там лоад аверейдж был 60 (в пике 74 ); нагрузка упала до 3 в течении 7 минут. Далее всё адекватно. Сейчас не более 3, за последний час максимум 5. При атаке это не плохо, я считаю.
server.it добавил 26.04.2010 в 17:44
На коннекты согласен, а вот по типам файлов....У меня лично никто ничего толще страницы не качает. Ну может графику какую жирновастую. Поэтмоу я не морочился никогда как защитить файловый архив.
Это должно быть сделано ещё при установке системы. Плюсом мускул отрегулирован. Плюсом ещё кое-что, что проц и ио грузит. Но это больше оптимизация на максимальное быстродействие. Так должно быть у каждого.
Это для меня новое.
Такой подход известен и очень эффективен. Я использую аналогичные механизмы для остановки уже имеющегося потока коннектов. Код нужно только поправить, чтобы исключать айпи ботов. Айпи ботов проверяются отдельным потоком. У Вас же в файло адреса складируются, верно? - значит из файла и убирайте тех, что проверены соседним потоком. Эта система очень эффективна. Если сможете написать сервис, который будет выполнять сей алгоритм быстрее, чем раз в минуту (а скорость выполнения нам нужна при сильных атаках), то уверяю, Ваш сервак выстоит и проитв 50К ботов, при условии, что памяти не гиг, и проц живенький. Тут главное не допустить нереальное множество соединений. Поэтому очереди так же нужно правильно организовать.
Ну это естественная защита от флуда. Но от ддос это не защита - ведь страницу то Вы дали загрузить.
Для Вашего сервера это достаточно мощьная система защиты. Будите думать об укреплении, когда серверов будет не один. Тогда и железяки полезные прикупите.
Я видел Ваш топ с udp флудом, нажигающим траф. Тут не поможет ни один антиддос сервис. Посмотрите в сети хорошенько, есть решение и от него. Оно по аналогичной схеме делается.
Вы подобрали некоторое ПО для сервера, которое режет все запросы без капчей и т.п.?
Если такое ПО есть и оно правильно функционирует, то это очень простой выход из ситуации.
У сервера есть определённый уровень производительности, исчерпать который возможно количеством подключений.
Если за дело взялись профи - они нагнут, если школьники, то как раз мы говорим о том, как от них отбиваться без каких-либо последствий для самого хоста.
Я считаю, что порог школьники/профи нужно брать где-то в 50 мегабит давления при более 10К ip.
Ваши предложения по порогу?
server.it добавил 26.04.2010 в 12:01
Кстати, вот только что - сайт по ддосом.
Лоад аверейдж 60.85! Два камня по 3 оборотов почти из последних.
Сильно! :)
server.it добавил 26.04.2010 в 12:04
Первые же минуты предпринимаемых мер - нагрузка падает до 30. 4000 ip за бортом.
Прямо онлайн борьба!
Разгадка капчей - так это само собой! Никто и не говорит ничего. Я же говорил о методе капчи, это должно быть абсолютно своё решение, и без тупых цифирей. Цифири как раз и нагнут ещё больше.
Верить в то, что хостинг за 2000 р в месяц с гарантией от ддос - это маразм полный. Я не видел прова, который будет гиг отражать. Они даже от 200М бежали как от чумы. А вобщем то не так страшно, как оказалось. Потери трафика всё же неизбежны, как не крути. Можно их только к минимуму свести.
Кстати, 50к не поднимут гигабитную волну, никоем образом. Разве если только ляпы админа.
И конечно же, Вы правы, серьёзный натиск на полудохлом селероне отразить вряд ли получится.
server.it добавил 26.04.2010 в 11:26
Совершенно верно, всё должно решаться ещё до того, как мы лезем за модулями даже. Всё верно.
kxk, согласитесь, есть же прослойка (допустим, тот же ТС), у кого нет средств, чтобы купить услуги защиты от ддос. И не все ддосы такие ужасные, что нельзя отбить.
Куда страшнее флуд.
