fail2ban написан на языке программирования высокого уровня, система под ддосом и так нагружена, ценен каждый мегабайт памяти, поэтому при более-менее высоких атаках никакие скрипты на perl, python и иже с ними не приемлемы. Все эти скрипты-банилки, которыми так полон интернет не помогут, так как при предобработке трафика - лягут первыми, до tcp\ip в ядре дело просто не дойдет...
идеально - это демон-сниффер на с\с++, висящий й в памяти как процесс, и пропускающий трафик через себя.
меня вот ддосят уже 4ые сутки с перерывами от 20 до 40мбит, сам fail2ban просто ложится, не успевая прожевать лог, который ему дают.
пошел другим путем, вспомнил универские, 10летней давности, познания в с++, накалякал поделку, компильнул, запустил с таймингом на раз в 30 секунд.... пока вот банит..
бета тестирование на таблесах положило сервер при 10к правил..
срочно мигрировал на ipset - уже 17к правил - пока полет нормальный, не ощущается нагрузки вообще...
коллега тут посоветовал в блэкхол роутить плохие айпишники - тоже затестю .....
но вообще конечно - не нужно льстить себе, поставьте какой-либо визуализатор типа мунина, посматривайте, как только атака до 30-40мбит доползет - начинайте искать антиддос сервисы, пока присматривайтесь и предворительно договаривайтесь..
понятное дело что сервером можно отбить и 10гбитный ддос - но оооооочень сильно зависит все от типа ддоса и параметров сервера, но в обще-среднем случае от 20мбит до 70мбит хватает , что бы сервер завалить. Предположу что хецнеру хватит и 50.
ну и канал - он не резиновый, что не говори...
а по поводу fail2ban - штука хороша как плюшка, сам вот использую как банилку левока на ДНС и левока на ссш. Скормить ей 600Мбайтный лог, что бы он его посчитал и разпарсил на питоне , или на чем там она - это тяжелый для сервера процесс не на одну минуту, в то время когда на вас атака - счет идет на секунды.
Да я то вот принципиально уже не использую для своих целей хецнер и клиентов отговариваю, но немцы эти в РФ - велики. упадет хецнер - упадет нафиг пол рунета :)
а так ДЦ, с, по крайней мере , анлимитным ВХОДЯЩИМ каналом найти можно, это да ...
блекхол щас попробую на сервере.
рядом в стойках стоят srx-240 4штуки. нагрузки на них никакой. но .. они тут, а клиент в хецнере. да и из пушки по воробьям - заряжать на 20-30 мбит железяки, тем более каналы тут - тоже не резиновые.
а упырек меж тем не успокаивается, не положил, не смотря на дырку на графике, это snmpd был стопнут, передохнул на день-полтора - и снова час назад вдул 20-30мбит.
сервер с графика выше в теме - как ддосил, так и ддосит, это другой сервер.... эх печаль..не дают спокойно работать...
PS: прямо интересно, сколько же правил прожует ipset.
голые таблесы на 15к уже плотно приседали ...
эээ ... а провайдер же снимает со своего порта трафик...
он его ко мне смаршрутил и посчитал... а принял я его или режектнул - это уже моя головная боль, разве нет ? а то клиенту тут переживаний добавилось, кроме ддоса есть еще риск влететь на трафик..
да не, подкрутил MTA чуть и ipset навесил. все путем.
только вот порт то на сервере - сотка, а уже 32мбит дуют:)
с учетом того, что 100 - это тех-скорость порта, а реальная скорость передачи данных - 75-80мбит - то если поднажмут то мне тупо положат канал.
школьник однозначно дует, судя по характеру ддоса, уже и в ihttpd повливать трафик пытался, но отдать должное прыткий школьник. POST на 32Мбит, надыбал же где то ботнет, упырек ...
поддерживаю на самом деле.
просто пытаюсь понять - стоит ли при обращении пробовать, а после в сервисы, или не заморачиваться и сразу в сервисы...
начинаю склоняться ко-второму варианту. в любом случае аппаратным комплексом я не располагаю, а любую программную педальку более менее нормальный ддос разобъет в легкую...
ну этим чувакам я как бе даже не конкурент. так как у них это прицельное занятие
ээ.. внедрял, пользуюсь, считаю полезным инструментом.
вопрос - как и в каком виде вы хотите видеть отчетность от сотрудников?
полу в риалтайме с отписками в свои задачи в crm ? или полупридуманную из башки бумажку по четвергам раз в неделю?
да вот размышляю.. 100ботов - конечно веселее..
[root@host ~]# iptables -nL INPUT | wc -l
8848
[root@host ~]#
вот ... побанилось блин .. за 3 часа ..... и так несколько дней....
уже который день продолжается одно и тоже безобразие, обычный вебсерверок с сайтами, особо хлопот не приносит и на тебе....... но честно говоря - надоело уже:
все равно приходится мониторить.---------- Добавлено 02.04.2013 в 00:40 ----------
ъля буду:))))
еще показать ?:)
скажу больше, в 110 и 1500 (isp manager) льется тоже самое :)
так нынче модное понятие, непонятно, откуда взявшееся.
лиц на услуги связи и телематику не нужна для предоставления услуг хостинга сайтов.
http://forum.hostobzor.ru/lofiversion/index.php/t15229.html вот.
можно так же найти правовые акты.
Так я не понял до конца..
хостинг без клиентов ? вообще ?
то есть только настроенные серверы, купленные лицензии на ПО, сайт хостинга и все ?
в таком случае цена - максимум 150-200$
но это правда мое видение. как оно на самом деле ... не могу знать.
ТС, на что только не идут оптимизаторы ради выдачи....
как тут выше писали - если у вас ГС - то ему все равно где находится.
влияет - инфа 100%, аж где то на 0,003%.
PS: еще установленный на сервере противорадиационный кактус тоже влияет - это рассказал мне по секрету один оптимизатор, он специально арендует доп.юнит к своему серверу. позиции растут геометрически!
