Author

Topic: Русские, объединяйтесь! (Read 2120 times)

sr. member
Activity: 462
Merit: 250
sr. member
Activity: 462
Merit: 250
А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа.
Зарегистрировавшись на сайте можно получить такой URL и бомбить сервак, который его обслуживает. Как вариацию такой стратегии могу предложить вынести более "тяжёлые" для сервера функции на отдельный front-end-сервак, а все критичные для работы функции оптимизировать по максимуму.

Если входящий канал будет достаточно широким то его будет непросто тупо забить левым трафиком, а исходящий канал не пострадает, если файрволом дропать все пакеты, относящиеся к атаке (см. пример от m0Ray).
sr. member
Activity: 868
Merit: 251
У меня была ситуёвина, когда досили один из серверов, который настраивал я.
Там стоит lighttpd.
Я написал небольшой скриптик, который раз в минуту (по крону) выкусывал хвост лога, выковыривал из него айпишники, которые слишком много хотели, и блокировал их через iptables.
Спустя сутки дос прекратился в силу полной бесполезности.
А сайтик был - баннерная биржа, и трафик у неё соответствующий. Wink
sr. member
Activity: 350
Merit: 252
probiwon.com
И ещё по теме DoS'a: как бороться с SYN-флудом?
  • Дополнительные IP-адреса помогут?
  • Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
  • Update: Apache mod_evasive.

Апач не нужен Smiley

Ещё идея: раздать всем чартам и биржам наш секретный URL с текущим курсом, чтобы они могли его брать. А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа.
sr. member
Activity: 350
Merit: 252
probiwon.com
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу
У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами?

Было и то и другое, но упало потому что трафиком завалило. Сейчас остались только идиоты которые шлют тяжёлый запрос параллельно в несколько потоков со статичных IP - написал их провайдерам, почти все отвалились уже Smiley
sr. member
Activity: 462
Merit: 250
И ещё по теме DoS'a: как бороться с SYN-флудом?
  • Дополнительные IP-адреса помогут?
  • Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
  • Update: Apache mod_evasive.
sr. member
Activity: 462
Merit: 250
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу
У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами?
sr. member
Activity: 350
Merit: 252
probiwon.com
я бы в первую очередь постарался увеличить мощность и эффективность самих серверов

В общем случае это не поможет.

У провайдеров есть специальные цисковские железки для защиты от DDOS,

Не не, эту систему ддосы уже валят.

Речь о сети специальных серверов, которые позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу. Услуга предоставляется в виде форварда уже чистых коннектов к конкретному ипшнику.
sr. member
Activity: 350
Merit: 252
probiwon.com
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?

Довольно хорошо. Я знаю как минимум один проект который такую защиту использует: dirty.ru

Quote
И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.

За прибыль в 300% в неделю можно положить даже жж Навального (или что там у нас самое неприступное сейчас?)

дос-атака стоит примерно от 10 до 500 долларов всего. а для технарей-итшников-криптографов вообще бесплатно может быть - тут ведь много народу, может кто и этим бизнесом занимается.

Люди, вы главное за биткоины свои не бойтесь - они будут и $5 стоить. Это всё болезни роста, обязательно что-нибудь будет придумано. Может вообще обмен уйдёт из www в почту - роботу посылаешь письмо он торгует. Или типа того, варианты можно придумать.

Главное ведь что надёжности самих биткоинов люди доверяют.
legendary
Activity: 1386
Merit: 1000
я бы в первую очередь постарался увеличить мощность и эффективность самих серверов

В общем случае это не поможет.

У провайдеров есть специальные цисковские железки для защиты от DDOS,
свою такую покупать я считаю излишне, надо пользоваться услугами.

Кроме того, реализация сервера должна быть масштабируемой, чтобы оплачивать пропорционально нагрузке (сейчас все облачное модно)

Поэтому считаю, что надо разрабатывать сразу с расчетом на аренду в каком-нибудь Amazon EC2 или как там это называется

Кроме того, а английской вики какой-то сисадмин за биткоины предлагал услугу настройки распределенного хостинга,
когда сайт реплицируется на много серверов в разных географических локациях, это дает минимальное время отклика для местных жителей (быстрый сайт)

Ну а база может быть и отдельно от морды, она не будет публичной и не будет попадать под атаку.
sr. member
Activity: 462
Merit: 250
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?

И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
sr. member
Activity: 350
Merit: 252
probiwon.com
> с утра

Владивосток?

западнее на 4000 км
sr. member
Activity: 290
Merit: 251
> с утра

Владивосток?
sr. member
Activity: 350
Merit: 252
probiwon.com
Вот что мне приснилось:

ддосы это надолго. НО! Защититься от ддос именно в России кмк проще чем в других местах из-за ненавистной централизации инфраструктуры, в том числе - интернета.

Знаете есть сервисы, с расставленными в узловых местах хостами, которые фильтруют трафик? Так вот они в нашем случае хорошо сработают. Но при этом наши сайты, биржи, майнинги и т.д. станут недоступны загранице (а может и нет? у меня такого опыта нет, я только теорию представляю и схемы рунета не видел)... Можно даже объединиться в один канал чтобы не платить много денег за такой сервис (он не дорог но и не так уж дёшев для маленького проекта)

вот такое мне опять с утра (как в тот раз!) приснилось... ещё не проснулся
Jump to: