это ты сейчас так считаешь.
потом узнаешь что такое асимметричный интернет и почем фунт беспроводного абонентского лиха.
да там ВООБЩЕ нет суппорта. невозможно даже найти форму обращения к человеку. письма на стандартные почтовые адреса типа abuse postmaster и тд хоть и ходят, но игнорируются. Черный ящик.
В контексте топика, этот факт важен потому, что доказать является ли это "фи" аргументированной претензией тоже невозможно.
Может действия Himiko ухудшили что-то, а может оно само ухудшилось.
вам в раздел "работа-работа перейди на Федота"
Жуть в том, что с теми, кто эти термины знает, тоже нельзя говорить. они увязли в своем сленге и цисках, думают как бы "не спалить тему" так, что вообще ничего не понятно.
1. Вполне можно. Хотя работа по отдаче index.html значительно легче запуска скриптов, но тоже не равна нулю. Значит потребляются ресурсы. Значит они могут исчерпаться при увеличении числа атакующих.
2. да в любом случае ddos возможен. вопрос лишь в том, на какие именно ресурсы он будет направлен и насколько интересно атакующему с вами морочиться. Умный атакующий изучит сайт и найдет наиболее тяжеловесные скрипты и будет мучать их.
После проверки входа вконтакт у вас происходит редирект на собственно приложение? Почему бы атакующему не пропустить этот этап и сразу не загружать приложение? Даже если там в приложении ничего хорошего не запустится, эта попытка уже задействует ресурсы.
Однако, на вас работает то, что команды которые могут выполнять некоторые боты ограничены. Многие кроме загрузки главной страницы вообще ничего не пытаются делать. Потыкались и отвалились. Странные они.
Если бы вконтакте предоставлял какой-нибудь механизм сокрытия сервера с приложением, прокси какой-нибудь, может быть тогда имело бы смысл защищаться от ddos с их помощью.
понятно. нерадостная идея. у них и мотив есть - в партнерском соглашении с оплатой по превалирующему трафику ДЦ крышующий DDoS выигрывает. Ну или даже если ДЦ прикиниется "поздно заметившим ddos".
madoff, давай попробуем, но для отправки подобных пакетов нужен root-доступ.
madoff, практика показывает, что не реализованы. надо бы хетцнер какой-нибудь проверить как один из самых массовых, да у меня нет там аккаунтов сейчас.
kostich в которой из тем ДЦ и что из этого следует? выражайся яснее и на русском. я же не циска, не пойму.
nginx поставь для начала
LEOnidUKG, да мне то откуда знать? первый пост почитай, там формулировалась гипотеза о возможности подделывать адрес источника, которую я проверяю на практике. Результат проверки - "иногда да" .
Разумеется, большой объем трафика исходящего с порта не скроется от ДЦ, подделан он или нет. Хотя можно предположить, что где-то считают трафик только по IP и в таком ДЦ можно прикольно подставить соседей. Этого я проверять не собираюсь :)
Решил поставить эксперимент и написал мини-прожку подделывающую адрес в upd-пакетах. Итого на пути следования трафика 3 оператора.
Получается, что ДЦ eserver-а (по сути карманный трафикогенератор ужасно транзитного оператора ростелекома) не фильрует такой трафик вообще. РЕТН тоже.
Однако в обратную сторону пакеты не идут, их подделать уже нельзя. Тут, похоже, третий небольшой провайдер фильтрует транзит.
С другой стороны, у меня получилось имитировать пакеты от соседей, то есть те, где IP-адреса несильно отличаются от адреса сервера. Такой трафик транзитчику невозможно фильтровать, а задействовать чужих ip-адресов таким образом можно довольно много.
Такие дела.
