Грише надо респектов пачку, т.к. конкурентов надо стимулировать на рисичорч(тм). Но раз он начал, то я продолжу.
И user-agent-ы нормальные проставляйте!
PS. Как рисовать хидер от WAP шлюза ОПСОСов рассказывать не буду.
штучка это нормально?
Стоп. А причем тут ISP/HSP, к которым я прихожу как клиент? У них всё гораздо проще... а в вышеприведенных организациях юзаются и такие продукты как Тропа-Джет, Дозор-Джет и т.д. Если делать ISP/HSP с таким обвесом, то стоимость услуг будет очень дорогой. Возьмите Эквант к примеру... даже боюсь говорить о том, сколько они за такую услугу выставят... что бы это узнать надо не одну неделю потратить. Или к Голденам на colo/shared сходите... или как там их сейчас называют. Цены на трафик будете согласовывать очень долго и долго... можете вообще ответа на запрос не получить.
Ну можно сидеть в Сбере и плакаться на хреновый сервис, можно сидеть где-то, где трансакции до 5тыс руб вообще никак не детализируются, т.е. как-то потом они доходят.
Это военная тайна на самом деле! Но если хочется по простому, то торгуйте пин-кодами. Вам же не вся функциональность банк-клиента нужна? Надо просто ходить куда-то по крону, со всеми мерами предосторожности, и смотреть выписку. Ну или эту выписку за период времени как-то получать... как-то в электронном виде. Тут даже банк-клиент не совсем обязателен. Вопрос в сервисе, который конкретный банк оказывает для своих клиентов. Истина где-то рядом 😂
Все могут, но это дополнительные риски. Когда рисков нет, то такое оч успешно практикуется. Тем более ящики беруться под гарантии конкретных ДЦ, за пределы территории которых они никуда не убегут.
А где тут в черную получается? Может между тем физ-лицом и юр.лицом hsp есть какой-то агентский договор? Если деньги до л/с в АРС дошли, то какая мне разница.
Это где такое чудо?
Это у тех у кого каменный век, а у кого 21, то у тех банк-клиент завязан с АРС и всё в режиме on-line проходит.
И что будет? Поставить это в IBS и смотреть как их файрвол спасает мой сервер своим падением? Оплачивать счета за флетовые каналы или наблюдать многотысячные инвойсы за террабайтный трафик?
Не знаю, что там за 1200 енотов получается.. там же сетевухи убогие получаются... о каких pps может идти речь, если хардварный буфер пиписечный. Нормальные сетевые чипсеты, если отдельно брать, стоят нормальных денег... если они на мамке, то чуть дешевле. Есть исторически сложившийся перечень чип-сетов с которыми работаю... не зависимо от производителя... сервер собрать это же не просто мамку в кузов запихнуть.. для каждой задачи подбирается. У Supermicro есть интеловые чипсеты с поддержкой jumbo frames до ~16кил... это один спектр солюшенов... больше под локалку. А есть чипсеты с большими буферами... hw polling.. это когда pps-ы стабильные нужны. Тут тоже не всё так просто. Тоже самое смотрится и по SCSI, а так же по тем фичам, которые в драйверах есть...
PS. Ну и лицензироваться надо и т.д... проще быть аля интегратором... и самое главное это потеря мобильности.
Посмотрел. На вскидку есть ряд типичных вещей, которые очень облегчают жизнь атакующим. И без скриптов хватает... если придираться, то получается что:
1. Форма отправки e-mail. Она же без всякой защиты получается. Не совсем ясен механизм работы, но при должной интенсивность можно что-то убить... мыльник hsp там, к примеру... озадачить. В итоге будет скопление отправлеющих скриптов, которые повлияют или на ваш хостинговый аккаунт или же на весь сервер целиком. За такое обычно до утра выключают.
2. В разделе downloads есть замечательнейшие меговые файлики. Количество одновременно скачивающих желательно ограничить. Это лишний соблаз нагрузить slow коннектами.
3. Если на сайте практически всё статическое, то зачем использовать для этого php?
Когда исчезнут проблемы с правописанием, то возможно на kostich.ru появится какой-то аля sysoev.ru, но пока... Потом попрошу кого-то из клиентов разместить это на своих зеркалах и можете тренироваться в гигабитаных флудах... там их и так достаточно, но это всё какие-то истерии и прощупывания. DNS размещу там, где в случае атаки пострадают очень авторитетные конторы... да и вообще, с больной головы переложу на здоровую и буду наслаждаться процессом дальше.
Shared ценен тем, что трафик атак канального уровня нельзя выставить клиенту в инвойс, а это уже, по сути, облегчает значительное экономическое бремя от всяких там виртуальных наездов. Если все будут знать, что я стою на colo c ценой 1$ за гиг общего, то через сотошный канал мне сделают такой подарок, что на утро я буду искать другого провайдера и думать как бы от этого отвертетьтся. Если цель атаки погасить ресурс, то как раз с помощью этого казуса она и будет достигнута.
ЗЫ. Если у HSP платный трафик, то это не значит, что это плохо. Если всякое там лишнее icmp, udp заранее отфильтровано где-то далеко, то фильтровать всяких товарисчей, который грузят трафиков не так уж и сложно... полная автоматика фактически.
Не совсем понял что такое slaed. А по всем VPS есть однозначный ответ. В конфигурации вашего сервера прописан лимит соединений, когда количество соединений его превысят, то какая-то часть этих соединений уйдёт в очередь. В любом случае, длительна атака которая состоит из пары тыс запросов в секунду на http стоит очень д,ешево... другое дело, что может быть у вас там есть какое-то php и мощность атаки можно снизить в десятки раз, а это еще дешевле и длительнее. 20-30 параллельных конектов на тормозные php можно и с gprs организовать... да даже на тестовом хостинге где-то в shell скрипт повесить и забыть... они даже там какой-то активности левой не заметят. Флуды обычно по трафику замечают, а когда по картинкам mrtg всё тихо, то и основания для беспокойства отсутствуют...
Когда HSP прикрывает свой хостинг какими-то акселераторами, т.е. кэширующими серверами, то весь контент, который динамический, можно снабдить хидерной инфой для кэшей... кэши они не какая-то vps, для простейшего oops+freebsd какие-то там 5-6 тыс активных конектов это мелочи жизни. Главное это то, что это недоходит до VPS. Можно там конечно в хидерах слать no-cache, но некоторые провайдеры достаточно лояльно к клиентам относятся... т.е. там по заявке такое дело просто порезать могут. У Зенона, кстати, есть Cisco CSS.. ради некоторых клиентов они оч активно на ней всякую пургу срезают. В большинстве случаев это как-то за спасибо там делается...
У других провайдеров, которые с акселераторами, тоже есть какие-то примочки... но иногда они просто посылают... хотя, что бы убить акселераторы mh надо постараться... тоже самое и по остальным, само собой по тем, у кого они есть. Да и у Зенона тоже... если доходит дело до всяких срезаний, то значит тебя там действительно с бот-сети из пару тыс компьютеров флудят.
Можно пытаться воспользоваться какими-то универсальными IDS, а можно написать под конкретный проект, или под какую-то его часть, так называемые правила для фильтрации. Т.е. там если к вам льют POST запросы, которых от нормальных клиентов просто быть не должно, то эти IP адреса должны попадать в список подозрительных и т.д. и т.п... вплоть от отслеживания аномалий в URL... когда готовятся к атаке, то какие-то переменные руками же щупают... сканеры есть, но это всё лирика. Тут есть конкретная цель и подозрения на уязвимости... notepad + telnet и вся картина более или менее ясна.
PS. Если ваша VPS по ab мега-супер производительная, то ей просто тормозных запросов надо чуток подкинуть и всё на свои места встанет.
Это как-то спасет, но никак не разрешит вашу проблему.
(coreшпецам просьба не бить, т.к. стараюсь писать максимально понятно)
502 в nginx появляется в случаях когда количество исполняемых скриптов через fastcgi превышает какой-то лимит, т.е. там даже несколько ситуаций есть, но всё упирается в лимиты и тормоза со стороны скриптов, в большинстве случаев... во всех ситуациях получается 502.
Увеличивать мощность сервера можно, но если вы увеличите эту мощность в двое, то на текущей конфигурации, такое явление будет появляется и дальше... как бы это корректней сказать, не на 250*2 пользователей, а гораздо на меньшем количестве.
Надо посмотреть на этот сервер из консоли. Посмотреть на кофиги, посмотреть на "тяжесть" php скриптов. Посмотреть как раз те моменты, когда скапливается очередь из "медленных скриптов"... т.е. надо выяснить, почему они тормозят так, что лимита не хватает... возможно лимит просто надо увеличить.
Можно поставить какой-то php акселератор, который будет держать кэш из прекомпиленных скриптов. Можно глянуть структуру ДБ и запросы, которые туда льются... т.е. надо прежде всего выяснить причину этих тормозов.
После всех выяснений надо оценить какие-то экономические моменты, т.к. возможно дешевле увеличить мощность сервера, в купе с какими-то правками конфигурации и кода... это если совсем всё плохо.
Причина может быть в интенсивном IO, т.к. SATA не самое лучшее серверное решение.
Целую книгу можно написать на эту тему.
Надо конкретно на это посмотреть, т.к. разговариваем о коте в мешке.
Может можно поправить движок, что бы он корректно выставлял хидеры для прокси. Тогда просто какая-то часть запросов от юзеров будет обрабатываться у них из локальных кэшей.
Очень много движков не обрабатывают такие запросы как HEAD. Т.е. вот на PHPшный скрипт идёт HEAD, который нужен для того, что бы узнать про измения, а вместо того, что бы сказать, что никакого нового контента на странице не было, он отрабатывается... это лишнее.
Смотреть надо.. по всему остальному в личку.
PS. прастите за мой русский... 😂
Во всех CMS работа с СУБД очень слаба.
В природе есть набор php классов для очень быстрого создания web интерфейсов к БД на базе mysql. В MySQL сейчас появились и тригеры и сторед процедуры и т.д. До классов можно дойти отсюда -> http://www.phpmyedit.org/, но можно сразу вот сюда -> http://platon.sk/projects/main_page.php?project_id=5
Классы абсолютно халявные, но всякие екстеншены(патчи), которые позволяют интергрировать это с различными шаблонками стоят значительных денег.
Если использовать это в купе с триггерами и сторед процедурами, то написать какую-то систему для администрирования сервера... вечер... максимум два. Когда есть что-то, что позволяет генерировать интерфейсы для произвольной структуры данных, то это на столько облегчает дело, что заказчиков начинают пугать сроки исполнения.
Хотелось бы какую-то CMS, которая позволяет быстренько организовать БД, посредством какого-то GUI, а так же интерфейс, с различными lookup, связями 1:1, 1:n и n:m. Но когда начинаешь изобретать что-то подобное, то протипом, по сути, является MS ACCESS. Что бы были возможны какие-то low-level операции... типа там повесить на какую-то кнопку приклейку дополнительных операций к sql запросу и т.д. и т.п.
У меня были какие-то наработки на эту тему, но это всё без GUI. Т.е. там примерно как в phpmyedit конфигурацию надо описывать, а потом оно получается так, как описалось. С lookup, с n:n и т.д... т.е. генерит интерфнес, акшены какие-то, натягивает на это дело шаблонку и т.д.
Во всех CMS речь идёт о каком-то наборе модулей, которые предназначаются для определенных структур данных.
Какого-то универсального продукта пока не видел. Ну если совсем там больших монстров не брать... которые со своими языками, уеб-серверами и т.д.
Хотелось бы чего-то совсем легкого, с помощью чего можно было просто создавать интерфейсы к СУБД и натягивать на это дело шаблонку.... писать под это какие-то простые екстеншены и радоваться жизни.
Под каждый проект подобное собираешь по кусочкам. На выходе получается заточенная CMS под конкретный проект, но по сути, если был бы GUI для сборки, то это можно было бы считать уже как под end-user.
PhpMyedit юзаю практически с момента его появления... написание какого-то интерфейса для редактирования/просмотра/навигации/поиска по прозвильной БД из 10тка таблиц занимает пару часов, а потом уходит время на довески всяких custom lookup и т.д... на какие-то действия пользователя спокойно навешиваются user-level триггеры.
Если в user-level тригер (на view) повесить установку фильтра по REMOTE_USER, то получает интерфейс уже с какими-то нюансами по секурити. Когда красота не нужна, то оно как раз кстати... но imho оно достаточно симпатично, а тем более, что с помощью CSS можно много чего кастомизировать... ну и какие-то картинки интерфейса можно просто оверлоаднуть.
ЗЫ. Если кто-то отрыл что-то подобное, то буду признателен за url.
Еще пару желающим весь процесс бесплатно. Кто следующий?
PS. Хотелось бы что-то интересное, какой-то самописный движок на коло.
