Oleg_ST, ну там написано, но мало. Про технику anycast не написано, хотя принципам работы BGP она не противоречит. Если нужно устроить anycast, все остальные концепции BGP нужно понимать тоже. Тут я немного согласен.
для этой цели антиддосеры либо дают свои защищенные dns-сервера, либо (и на полном серьезе!) рекомендуют pdd.yandex.ru/google/dyndns.
Раз dns защищен, то опять переходим к защите конкретного IP.
ТС это интересует не только с позиции владельца ресурса. Он типа от ддосов защищает. Как умеет.
Вообще - да, создание подобной инфраструктуры начинается с планирования, а потом можно и писать и заключать договора и т.д. Владельцы таких ресурсов как vkontakte могут себе это позволить.
Нет с BGP все не так. И даже не так как а книжках 2000 года.
1. Боты запрограммированы посылать трафик на IP, который не меняется и может быть вообще один единственный. На BGP ботам наплевать. Боты с маршрутизаторами не взаимодействуют напрямую. Вы не сможете "менять Б сервера" с помощью BGP.
2. Множество точек входа, желательно разбросанные по миру, анонсируют одно и то же адресное пространство (Anycast), что не дает возможности трафику сойтись в одной точке и забить каналы или уронить маршрутизаторы. У ботнета отсутствует сама возможность направить атаку в конкретную географическую точку. Вообще не нужно выдумывать какие-то переключающие схемы.
3. При особо массивных атаках, точка обработки трафика может, согласно партнерским соглашениям с региональными провайдерами, подавить трафик на атакуемый IP к себе, начав анонсировать этот IP в bgp blackhole comminity. Это дает возможность подавить объем трафика намного больше чем закуплен канал для точки. И это нормально. Вряд ли русских вебмастеров интересует трафик из Китая. Такой трафик помрет где-то на подходе прямо в китайской провинции. Разумеется, китайские пользователи сайт не смогут открыть. Компромиссы приходится искать везде.
Вот теперь прикиньте сколько минимально стоит создание подобной инфраструктуры и сравните с колхозным DNS из трех серверов по 100$, который тоже сносно должен переварить атаку 300 мбит и с довольно серьезным pps.
Фильтрующая ддос система не требует никаких мастеров и слейвов. Каждый сервер гонит отфильтрованный трафик на один IP.
madoff, схема не имеет практического смысла, потому что есть другие. ну или ты не смог донести её доступно и понятно.
Romka_Kharkov, "переключение" dns, а точнее отключение отдельного сервера происходит либо естественным образом при загрузке канала фильтрующей точки на 100%, либо точка может сама перестать отдавать dns если поймет что загрузка приближается к 100%. делать это можно довольно быстро и точно быстрее чем перенастроят ботов.
а переключения BGP так и вообще фантазии madoff. не нужны они
Если кто-то решил заддосить конкретный обработчик трафика направив атаку один конкретный IP, то его придется отключить. В оригинальной задумке zexis сервер просто перестанет отвечать на запросы DNS по причине перегрузки канала и клиент попробует другой.
Вконтакте - это уже уровень повыше. Там уже другие решения.
ага. но если бы читали zexis, то понимали что речь идет даже о специализированном сервисе.
Ну первое время тяжело придется, потому что совет "это можно сделать с помощью BGP" никакого конкретного плана в себе не содержит. Нужно еще знать что именно нужно делать. Вот Romka_Kharkov слово BGP вроде бы знает, но какую-то ерунду пошел развивать.
она мрет. как и раньше мерла в 2000-ых года соплежуйка 2600-ая. А у меня умирала "что вы ! это же маршрутизатор операторского класса 3640!" в то время как обычный сервер все спокойно блокировал.
Разумеется арендуя сервера в разных точках ДЦ добиться того, что трафик ддос не будет сходиться в одну точку и тем самым спасти маршрутизаторы.
Я не вижу этого в man 2 setpgrp. Про SIGHUP написано. Довольно странно, что специально созданная утилита не выполняет свою основную функцию.
Вообще, есть же еще утилита командной строки setsid. Ей лучше менять группу уже в запущенном процессе не трогая php, который вероятно как модуль апача.
recrut, ну IDS берет и вымышляет атаку, которой не было. А они потом ее "отражают", бедняги.
Даже обычное скачивание файлов по ftp может быть классифицировано как атака из-за высокой интенсивности tcp-соединений. И таких примеров масса.
Отстройка подобных систем занимает много времени, а полезность весьма призрачная. КПД измерить никак нельзя.
В армии разве что полезно. Там похожие задачи стоят - занять солдата хоть чем-то.
Нет. Им некогда читать форумы. Они круглые сутки пытаются справиться с вымышленными IDS атаками.
Хотите к ним присоединиться?
