Jackyk, Что показалось тематика сайта и конкретное описание весьма сложной и не решаемой со стороны клиента проблемы, нарушением закона о персональных данных ? Ну тогда выдача Яндекса и Гугла нарушает законы всех стран о персональных данных :)
Jackyk, Клиент выше сам тематику своего сайта обозначил на одной из страниц, я лишь провёл некоторые уточнения к конкретно его случаю. Чтобы он не строил из меня изверга.
Root доступы я не храню где либо, после настройки они удаляются и многократно перезаписываются, клиенты сами дают временный рут пароль если нужные какие-то вмешательства в работу самого серера.
Я понять не могу понять, откуда у Вас такое предвзятое отношение ко мне именно, что конкретно, я Вам сделал плохого ?
geniy, К сожалению, сколько людей столько и мнений. Вас я вспомнил, у вас кривой сайт по L2 игрушкам был, на cms дёргающей по 30 запросов в mysql на любой get запрос к главной (не важно, от бота он или человека) которые нельзя закешировать и которую саму нельзя закешировать, как и оптимизировать страницу регистрации, я прав ?
geniy, Я никому ничего не должен пока обязательство не возникло в результате оплаты на мой лицевой счёт :)
geniy, Свои механизмы оптимизации я небуду раскрывать :
geniy, 10 Гбит пустого канала стоит и дешевле, весь вопрос в принципах его обучения подавления ддос, раcпределению и тп.
Вот смотрите есть для примера сайт футбольных фанатов с просмотрами через iframe на их сайте с чужих сайтов (встраиваемое видео), у них в пике 300 мегабит в секунду трафика чистого безо всякого ддоса, в мирное время у них 100-150 мегабит в секунду.
Вопрос ? Кто и почему должен оплачивать этот трафик клиента и предлагать ему услуги дешевле 500 уе ? При условии что самый дешёвый гарантированный мегабит (если покупать от 3х гигабит и более) стоит порядка 3$ (товарищей с Укртелекома с их негарантированным каналом мы не считаем).
Jackyk, Кластеры вас разорят, поверьте я знаю что говорю, не 1 скупой стартап на старте они разорили. Да и потом кластеры на текущий момент это медленные, плохо проработанные решения (я про линукс системы), своей задачи какую они должны выполнять, на данный момент они не выполняют, к великому моему сожалению.
Jackyk, Настройки кеширования в ДЛЕ и то что делаю с ним я это 2 разные вещи, я всячески отвязываю движок от php и баз данных, я думаю вы согласитесь на мощных антиддос нодах гораздо проще отбить любой поток ботов нежели просто выкидывая сотни, а то и тысячи долларов на покупку всё более и более мощного железа которое всё ещё не выдерживает атаку на сайт даже после фильтрации.
Моя лично цель - максимально отвязать тот или иной сайт от сервера клиента, чтобы клиент не выбрасывал сотни долларов на ветер, и всячески оптимизировать, те части какие нельзя закешировать на антиддос нодах.
Почему не смогут удержать другие ?
Остановлюсь на этом моменте подробнее, технически возможно и смогут остановить поток udp/icmp мусора до сервера жертвы, но ни кто не мешает ддосерам направить туда умный http ботнет в котором прописаны алгоритмы обхода защит: Циско и Джунипер (аппаратных решений).
Мы используем модуль фильтрации нашей собственной разработки, это внутренний модуль и мы не продаём его и сдаём в аренду, только с нашей поддержкой, посредством фильтрации трафика через наше оборудование.
У нас не было ещё ни 1 случая чтобы мы подняли цену на отражение атаки из-за того что атаку кто-то усилил. в какое-либо количество раз.
grisha2217, Секундочку, где-то у меня был класс :)---------- Добавлено 09.10.2013 в 19:51 ----------А, вот и класс :
function getRealIP(){ if( $_SERVER['HTTP_X_FORWARDED_FOR'] != '' ) { $client_ip = ( !empty($_SERVER['REMOTE_ADDR']) ) ? $_SERVER['REMOTE_ADDR'] : ( ( !empty($_ENV['REMOTE_ADDR']) ) ? $_ENV['REMOTE_ADDR'] : "unknown" ); $entries = split('[, ]', $_SERVER['HTTP_X_FORWARDED_FOR']); reset($entries); while (list(, $entry) = each($entries)) { $entry = trim($entry); if ( preg_match("/^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/", $entry, $ip_list) ) { $private_ip = array( '/^0\./', '/^127\.0\.0\.1/', '/^192\.168\..*/', '/^172\.((1[6-9])|(2[0-9])|(3[0-1]))\..*/', '/^10\..*/'); $found_ip = preg_replace($private_ip, $client_ip, $ip_list[1]); if ($client_ip != $found_ip) { $client_ip = $found_ip; break; } } } } else { $client_ip = ( !empty($_SERVER['REMOTE_ADDR']) ) ? $_SERVER['REMOTE_ADDR'] : ( ( !empty($_ENV['REMOTE_ADDR']) ) ? $_ENV['REMOTE_ADDR'] : "unknown" ); } return $client_ip;}
geniy, Ну ваш случай это скорее исключение из правил, при большой цене и адекватном клиенте за 2-4 дня можно адаптировать фильтры и под вас. Но если клиент упрёться что он ничего менять ни за что небудет не при каких условиях или код закодирован, а разработчик сбежал, тут большинство антиддосов, вообще не поможет.
geniy, Атаки dns amplification бывают разной силы необязательно что у всех ддосеров они по 100+ гбит это я вам к сведению :)
netwind, К сожалению его случай мне не о чём не говорит и такого клиента я не помню. Не буду спорить возможно прошло много времени, тк защита постоянно дорабатывается и совершенствуется.
Jackyk, Знаний хватает, но знания свои я оцениваю дорого, тк в этом мире время = деньги, как бы Вы не хотели, чтобы, время квалифицированного техника по сетевым вопросам стоило 3$ в час или менее, такого быть не может, даже в теории.
Оборудование это не "Циска гуард" *x, в современных реалиях это совершенно бесполезно, против относительно нормальных атак это вам не поможет.
Нормальная работа это в моём понимании это:
1) Круглосуточный суппорт, понятный пользователю 24/7 в чате, доступный с любого мобильного устройства
2) Круглосуточный центр спасения, говоря иным языком, возможность решить нестандартную проблему которая не по зубам даже самому умному автомату, даже ночью в новый год, когда в других местах уже никого нет на месте.
3) Возможность решения нестандартных задач, связанных в частности с кешированием, например популярный движок сайтов "Datalife Engine" без специального кэширования, в состоянии уложить очень мощный Xeon с 32 Гб оперативной памяти, не загрузив гигабитный канал и на половину, при посещаемости ~100 000 уникальных посетителей в сутки.
В моей работе нет цели "развести клиента на максимум", как это пытаются сделать многие мои коллеги, там где другие предлагают кластера, чтобы сайт не падал, у моих клиентов всё прекрасно живёт на 1 надёжном качественном сервере и при этом не вынимая все деньги до копейки из кармана клиента.
Но, тут есть 1 момент, я не предлагаю тех услуг, тех ЦОД за которые мне может стать стыдно (где нет нормального: кондиционирования, охраны, проблемы с питанием, не зарезервированы каналы по схеме не менее N+1). Как следствие мои услуги не стоят дешево, тк это не имеет смысла ни для клиента ни для меня. Моя цель, чтобы те люди кто работают со мной росли и развивались.
Я очень надеюсь, что развернуто ответил на ваш вопрос.
C уважением, Владимир
