Про то, что стоит дорого такой сервер, знаю, на халяву не рассчитываю. Идеальных хостеров не существует, то что в США дешевле это понятно. Про iptables ясно, но есть ipset, вроде бы он быстрее. План может и поменяется, антиддос хостеров у буржуев много, я штук 20 насчитал, так что если что будет куда обратиться понабивать шишек.
Я думаю все, что там сказано в первом посте, это 90% всего, что можно было бы сделать, дальше все упирается в возможности сервера и канала. Не исключено, что большой сервер с большим каналом может успешно блокировать большой ддос без использования аппаратных средств. Ведь все индивидуально, у кого-то друпал или джумла или битрикс, и каждый чих пользователя уже 100 запросов к mysql, а у кого-то в пределах 10 запросов или вообще часть сайта, созданную в cms, можно экспортировать в html.
Из темы вынес план, практики нет, но если случай представиться, будет повод опробовать.
1. не использовать apache и панель управления, чтобы не мешалась, только ручная настройка.
2. сервер минимум 32 гига памяти, соответствующие процессоры, 1 гигабит безлимтный трафик.
3. найти или написать софт, который оперативно добавляет при резком увеличении числа соединений ненужную русскому сайту часть интернета в файервол (заготовленный список). 10-15% пользователей иностранных для русского сайта при условии, что иностранных ботов 80%, - это несущественная потеря, а масштабы атаки сразу могут быть и не ясны, поэтому лучше все же забанить, чем зависнуть от слишком большого трафика.
Поисковиков ип диапазоны естественно не добавлять. О тех ботах поисковиков, которые проверяют сайты на вшивость, и возможно ходят с других ип, - правильному популярному сайту, сидящему в топе по многим запросам, нет смысла волноваться. Для репутации сайта поисковику порой достаточно чтобы был в ЯК и ДМОЗ, то есть человек просматривал сайт, значит все ок. А если кто-то выложил 100 гигабайт дорвеев на 1000 доменов, то тогда конечно проверка на вшивость неминуема такому проекту. А временную недоступность при запросе с 1 ип или нескольких, но доступность с другого ип или нескольких, любой цивилизованный поисковик сочтет за перегрузки и выкидывать из топ не станет, тем более что, кто как не поисковик реально знает географию посетителей конкретного сайта.
4. fail2ban или подобная прога для анализа логов - для поиска ботов. Я сталкивался 1 раз с атакой на ssh с полусотни ип из разных стран, конечно это мелочь, но наводит на мысль, что цель атаки может быть разной, вдруг несколько тысяч ботов начнут подбирать к чему-то пароли, поэтому инструмент для анализа логов должен быть универсальным и предусматривать и такие сценарии. Признаки для бана за активность на сайте составлять, опираясь на обычную статистику сайта и поведение пользователей на нем. Смысла отсеивать ботов, имитирующих браузер, не видно, раз все у них как у людей. Разница между человеком и ботом должна проявляться скорее именно в патологической активности, не характерной для пользователя, в условиях конкретного сайта и его особенностей. Если нагрузка спадает, постепенно открывать закрытые страны (тоже автоматизировать), и таким образом по частям разбираться со всеми.
Вы рассуждаете как админ и уходите в специфику и тонкости, у нас же постоянная практика и набивание шишек. Я продумываю "архитектуру" в меру своего понимания и опыта, то есть говоря что 400-500 тысяч посетителей это 50 мегабит в среднем, я уже учитываю, что канал лучше отдельный или платить за трафик и сколько нужно памяти для конкретного проекта, опираясь на те данные, которыми владею. Возможно мои представления о ддос наивны, я не спорю. Если он случится, тогда и будет повод проверить, как действует временный бан всего интернета, учитывая аудиторию сайта. А может быть мы просто переедем на солидный конкретно антиддос хостинг и забудем о проблеме. То есть я хочу сказать, что долгосрочное планирование у всех разное. Если компания большая и денег много и есть цель нагнать 500 тысяч человек на сайт, то тогда и надо рассуждать об инвестициях, но для трех человек, сочетающих в себе в разных долях оптимизатора, менеджера, программиста, дизайнера, админа, контент-менеджера, копирайтера, - рассуждать о долгосрочном планировании нет смысла.
Как можно предусмотреть все риски? Вот пример макхоста и оверсана. Прочел где-то, что на все дела по строительству датацентра оверсан взял кредит 400 миллионов рублей. Ожидал ли он, что его кинет макхост? Скорее всего нет. Куча больших сайтов всерьез повелись на сладкие предложения макхоста. И действительно поддержка там хорошо работала. даже в 5 утра в воскресенье отвечали, когда мы там были на впс, и как раз макхост по тихому намекал с присущей ему жадностью - а не пора ли на сервер. А до известных проблем макхоста они спамили нас своими сладкими предложениями неограниченного трафика и приводили в пример ряд посещаемых сайтов своих клиентов. Но опыт подсказывал, что такое в России невозможно и может плохо кончится, хотя уже были почти готовы заказать сервер, надеясь на чудо и на авось. Как можно было оверсану не предусмотреть риски с макхостом? Бред получается, куча долгов и так уже есть, а клиенты вряд ли ринуться к оверсану от такого черного-пречерного пиара. В общем это все риторика, практика и опыт решают все, долгосрочное планирование не всегда приводит к ожидаемому результату и порой выгоднее действовать по мере наступления проблем, чем тратить деньги на предугадывание всего. Прошу прощения за оффтоп.
Не думаю, что все так у всех. У нас в "конторе" всего три человека, и все вышло как хобби, риски учитываются по мере роста квалификации и роста сайта. Сначала сайт малыш, который на виртуальном хостинге, потом поддержка хостинга начинает требовать перехода на впс, потом головные боли с впс, когда хостер намекает на сервер, и оказывается что на виртуальном хостинге даже лучше чем на впс было, потом сервер - вынужденно опять-таки. И так далее. Вот так вот сразу с нуля никто не проектирует сайт с посещаемостью 400-500 тысяч человек, на все примочки просто нет денег, нет опыта и т п То есть не все бизнесы начинаются с инвестиций, кредитов в банке, иногда это просто хоумпейдж, который окупается, начинает приносить прибыль, растет, и вот уже на определенном уровне и начинают готовится к росту посещаемости, к ддосам и прочим приключениям, потому что уже знают, что именно даст трафик, какой он будет, что он будет делать на сайте и т п, то есть опять таки опыт.
В меню панели есть добавление ip адреса.
Прошу прощения, но все же принцип везде тот же, - банить наглухо все и вся от греха подальше с помощью доступных в конкретной ос инструментов.
А вот про панель еще можно сказать. Я не доверяю ограничениям и баню все ип с помощью htaccess в соответствующих папках панели управления, веб почты, phpmyadmin итд Защищенное или не защищенное соединение - без разницы. Если мы защищаем ssh доступом только со своего ip или диапазона ip своего провайдера, то имеет смысл сделать это во всех местах, где вводятся важные пароли, включая также папки админок сайтов и т п места.
Для картинок и разннобразных мелких файлов nginx, нагрузка безусловно есть прежде всего от apache, трафик действительно в пределах 10 мегабит. Ориентировочно 150 тысяч в день на текстовом сайте - это порог вхождения в средние 10 мегабит. Конечно, если брать во внимание сервер только с apache, то можно и без ддоса от одной только реальной посещаемости зависнуть. А также если речь идет о форуме, где постоянно висит тысяча человек, там конечно совсем другой подход.
Имеет смысл оставить доступ только со своего ип по ssh или же диапазон своего провайдера, но при этом еще надо сурово банить за любые подборы паролей к почте, за переборы несуществующих урлов с целью найти уязвимость. Всех в iptables полностью вне зависимости от того, что атаковали. Можно еще китайцев закрыть, 50% процентов атак от них.
1. unmanaged - неадминистрируемый, зачастую раза в два дешевле, то есть ты сам все делаешь, managed - не пробовал и не советую, за тебя все делают.
2. сколько угодно доменов, завсит от мощности сервера и трафка на них.
3. для новичка хорошо, когда есть возможность переустановить ос автоматически, в Hetzner такое есть судя по отзывам. Когда у тебя свежеустановленная ос, выбираешь панель управления к которой привык на виртуальных хостингах, идешь на ее сайт и пробуешь установить по инструкции, оплачиваешь лицензию и получаешь готовый к использованию сервер, хотя конечно там можно много всего еще настраивать, за что и берут деньги, когда предлагают managed или администрирование, но в целом для старта при наличии возможности поставить ос автоматически и самому панель установить - ничего сложного для нуба. Но потом по ходу надо книжками обзаводится и форумы читать, учится в общем, чтобы избежать неприятностей.
Хороший сайт для нуба http://www.howtoforge.com/
Вообще 100 тысяч посетителей на текстовый сайт дают загрузку канала в среднем 6-8 мегабит 😂, так что 400-500 тысяч в моем понимании это максимум 30-50 мегабит, не больше. 😂
Некоторые теоретики наивно полагают, что у всех файловые хостинги или порносайты на 100 мегабитном шаред канале. 😂
PRelude добавил 24.04.2010 в 14:16
Ясно. Я подразумеваю под мощным сервером 32 гигабайта памяти и соответствующие процессоры.
От apache собираюсь отказаться по понятным причинам.
Это конечно не атака видимо с позиций защитников от ддоса, предлагающих свои услуги.
