Шаред хостинг достаточно сложно защитить... особенно если нет доступа к ДНС клиента, а на него идет мощная атака, то страдать будут все. Обычно мы рекомендуем шаред хостингам делить клиентов на две группы - доступ к ДНС которых есть и доступа к ДНС которых нет. Если шаред хостинг хочет снизить свои риски, то всех клиентов с внешним ДНС он просто обязан усаживать на выделенные IP. Можно ставить сколько угодно балансировщиков и фильтров, но если мощность атаки превысит канальную компетенцию, то на аплинках придется блокировать весь хостинг целиком.
э... мужик, ты его юзал?
Вы мне писали кажется про "найдете ли вы клиентов"... я вот на тот вопрос и отвечаю. Такие услуги всегда восстребованы и клиенты в очереди стоят.
а я про SLA на обычные проекты... есть там партнерка какая-то, которая народу приносит 15к американских в месяц, причем чистыми... есть люди, которые в SEO в месяц льют по 10-20к. И есть вот какие-то сервисмены, которые заявляют и по бэкапы и про вермя восстановления и т.д.
Среди партнерок очень большая конкуренция. Если партнерка пролежит сутки, то какая-то часть вебмастеров заметит код партнерки на код конкурента... на месячном доходе это серьезно отражается, молчу уже про имиджевый убыток. Очень серьезные проекты сидят на этом SLA, которое по сути "as is", а когда случается, то теряют в сотни раз больше.
Андрей, ну какие 8к... речь идет о том, что за 3 секунды ему впердолят 70-80к... и будет потом это все на таймауте тупить.
ты модели кокнкретные приведи пожалуйста, которые синфлуд убивают...
и по этому сейчас стало модным инжектить в похаканные сайты бэки?
всякие аплайенсы для сигнатурного анализа трафа на паверписи делают... чем он им так дался понять не могу....
опус про 40 баксов в месяц и SLA распеаренных контор... вот ты кстати какой SLA клиентам показываешь?
ps. а мы уже НГ отмечаем...
это все в кассу на самом деле...
под фрей есть accept filter, под линуксом более убогая поделка под названием deferred accept... все это имеет прямое отношение к реалиации стека и т.д... фряшный accf_http можно ддоснуть до момента нехватки памяти, линуксовый очевидно тоже... самое поразительное, что до логов опача или nginx это все как-то не дойдет... если досят POST запросами, то фряшный ацепт фильтр пропускает, а линуксовому изначально параллельно, т.к. он аля как accf_data...
атака идет на tcp стэк в первую очередь, а падение опача или nginx это как следствие... атаку наращивают до результата... если там появился mod_evasive и т.д., да без разницы что, то зальют гигабит syn/ack флуда и пускай оно валяется... icmp обычного фрагментированно наливают сейчас столько, что если на аплинках аплинков аплинков не фильтровать, то хватит любой ДЦ в РФ похоронить...
Обычный юникс на среднем сервере дохнет в р-не 100kpps-ов на грамотной синфлад атаке, т.к. если он как рутер может и 1mpps пакетов разруливать, то на синкуку ему надо генерить хэш... на соньковских PS3 можно делать 1.4 биллиона md5 хэшей в секунду а на писюке сами понимаете, биллион предел мечтаний... а еще надо и прерывания разруливать и т.д... хорошо когда сетевуха может несколько тысячь пакетов за одно прерывание слить, а если нет то каюк... а 100kpps это чего-то мегабит 50 получается и всем как-то по барану что у вас канал до сервера гигабитный.
сам стэк, в его реализации, в рамках защиты от ддос, он никак не годится... разбор идет попакетный и т.д... в системах защиты и высокопроизводительных маршрутизаторах с NICами работают совсем иначе... что бы собрать высокопроизводительный маршрутизатор нужно несколько NICов с отдельными рисковыми CPU и пакеты могут свитчится минуя память, а следовательно минуя производительность памяти.. сейчас шина PCI-e работает как самолет и производительность решений упирается в оперативку в основном... в L2 кэш CPU влезает столько маршрутов, что как-то в реальности столько не надо... в нашем случае в L2 кэш влезают и сигнатуры и т.д...
еще раз повторю.. апач и nginx можно свалить без всяких мегабот сетей какие бы модули туда не ставили... это круто конечно, когда какие-то маленькие победы над мегатупими атаками, но прогресс не стоит на месте...
многие тут скажут, что вот они отбивали атаку с 6-7тыс ботов... замечу, что это просто ддос-еры тупанули... если бы с 6-7 тыс ботов зарядили синфлуд или syn/ack, то канал бы накрылся моментом... а если тупой флуд, то конечно можно на апаче отбивать различными модулями... с некоторых ip вваливают аж по 5kpps...
зы. тема стара как ip...
Попросите их поставить астерикс и настроить там обзвон с IVR...
я бы сам им по 20 EUR/hour платил за гемор с asterix, но боюсь они просто ответят что это не их профиль.
А на эту тему можно вот тут -> /ru/forum/192093
это из области анлимного трафика за 4800 рублей...
у нас в Германии свои сервера стоят и несмотря на все ipkvm и power switches платим ДЦ за remote hands по 110EUR в час, если месячный лимит выедаем... в том ДЦ стоят селлеры, которые тут на форуме тоже есть, которые там предлагают все дешевле... в отличии от них мы свои стойки в глаза видели и железо ставили своими руками !!! в США аналогично...
Тот fullmanaged который ТС предлагает стоит вполне адекватно... мне кажется он даже дешевле мастерхостового. Панелька и т.д... в любом случае это как бы анлимный шаред, но в пределах выделенного физического сервера.
