bitcoinex (OP)
|
|
May 02, 2011, 10:14:04 PM |
|
Вот что мне приснилось:
ддосы это надолго. НО! Защититься от ддос именно в России кмк проще чем в других местах из-за ненавистной централизации инфраструктуры, в том числе - интернета.
Знаете есть сервисы, с расставленными в узловых местах хостами, которые фильтруют трафик? Так вот они в нашем случае хорошо сработают. Но при этом наши сайты, биржи, майнинги и т.д. станут недоступны загранице (а может и нет? у меня такого опыта нет, я только теорию представляю и схемы рунета не видел)... Можно даже объединиться в один канал чтобы не платить много денег за такой сервис (он не дорог но и не так уж дёшев для маленького проекта)
вот такое мне опять с утра (как в тот раз!) приснилось... ещё не проснулся
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
Arceny
|
|
May 02, 2011, 11:20:34 PM |
|
> с утра
Владивосток?
|
|
|
|
bitcoinex (OP)
|
|
May 02, 2011, 11:22:26 PM |
|
> с утра
Владивосток?
западнее на 4000 км
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
Yurock
|
|
May 03, 2011, 12:28:05 AM |
|
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?
И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
May 03, 2011, 12:43:38 AM |
|
я бы в первую очередь постарался увеличить мощность и эффективность самих серверов В общем случае это не поможет. У провайдеров есть специальные цисковские железки для защиты от DDOS, свою такую покупать я считаю излишне, надо пользоваться услугами. Кроме того, реализация сервера должна быть масштабируемой, чтобы оплачивать пропорционально нагрузке (сейчас все облачное модно) Поэтому считаю, что надо разрабатывать сразу с расчетом на аренду в каком-нибудь Amazon EC2 или как там это называется Кроме того, а английской вики какой-то сисадмин за биткоины предлагал услугу настройки распределенного хостинга, когда сайт реплицируется на много серверов в разных географических локациях, это дает минимальное время отклика для местных жителей (быстрый сайт) Ну а база может быть и отдельно от морды, она не будет публичной и не будет попадать под атаку.
|
|
|
|
bitcoinex (OP)
|
|
May 03, 2011, 12:45:57 AM Last edit: May 03, 2011, 11:54:41 AM by bitcoinex |
|
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?
Довольно хорошо. Я знаю как минимум один проект который такую защиту использует: dirty.ru И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
За прибыль в 300% в неделю можно положить даже жж Навального (или что там у нас самое неприступное сейчас?) дос-атака стоит примерно от 10 до 500 долларов всего. а для технарей-итшников-криптографов вообще бесплатно может быть - тут ведь много народу, может кто и этим бизнесом занимается. Люди, вы главное за биткоины свои не бойтесь - они будут и $5 стоить. Это всё болезни роста, обязательно что-нибудь будет придумано. Может вообще обмен уйдёт из www в почту - роботу посылаешь письмо он торгует. Или типа того, варианты можно придумать. Главное ведь что надёжности самих биткоинов люди доверяют.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
bitcoinex (OP)
|
|
May 03, 2011, 12:48:30 AM |
|
я бы в первую очередь постарался увеличить мощность и эффективность самих серверов В общем случае это не поможет. У провайдеров есть специальные цисковские железки для защиты от DDOS, Не не, эту систему ддосы уже валят. Речь о сети специальных серверов, которые позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу. Услуга предоставляется в виде форварда уже чистых коннектов к конкретному ипшнику.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
Yurock
|
|
May 03, 2011, 08:04:36 AM |
|
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами?
|
|
|
|
Yurock
|
|
May 03, 2011, 08:48:54 AM Last edit: May 03, 2011, 09:12:24 AM by yurock |
|
И ещё по теме DoS'a: как бороться с SYN-флудом? - Дополнительные IP-адреса помогут?
- Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
- Update: Apache mod_evasive.
|
|
|
|
bitcoinex (OP)
|
|
May 03, 2011, 11:58:26 AM |
|
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами? Было и то и другое, но упало потому что трафиком завалило. Сейчас остались только идиоты которые шлют тяжёлый запрос параллельно в несколько потоков со статичных IP - написал их провайдерам, почти все отвалились уже
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
bitcoinex (OP)
|
|
May 03, 2011, 12:01:29 PM |
|
И ещё по теме DoS'a: как бороться с SYN-флудом? - Дополнительные IP-адреса помогут?
- Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
- Update: Apache mod_evasive.
Апач не нужен Ещё идея: раздать всем чартам и биржам наш секретный URL с текущим курсом, чтобы они могли его брать. А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
May 03, 2011, 12:04:26 PM |
|
У меня была ситуёвина, когда досили один из серверов, который настраивал я. Там стоит lighttpd. Я написал небольшой скриптик, который раз в минуту (по крону) выкусывал хвост лога, выковыривал из него айпишники, которые слишком много хотели, и блокировал их через iptables. Спустя сутки дос прекратился в силу полной бесполезности. А сайтик был - баннерная биржа, и трафик у неё соответствующий.
|
|
|
|
Yurock
|
|
May 03, 2011, 01:03:23 PM |
|
А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа. Зарегистрировавшись на сайте можно получить такой URL и бомбить сервак, который его обслуживает. Как вариацию такой стратегии могу предложить вынести более "тяжёлые" для сервера функции на отдельный front-end-сервак, а все критичные для работы функции оптимизировать по максимуму. Если входящий канал будет достаточно широким то его будет непросто тупо забить левым трафиком, а исходящий канал не пострадает, если файрволом дропать все пакеты, относящиеся к атаке (см. пример от m0Ray).
|
|
|
|
Yurock
|
|
May 03, 2011, 09:29:24 PM |
|
|
|
|
|
|