Topic: Русские, объединяйтесь! (Read 2098 times)
Некоторые соображения насчёт доса от BitcoinExchange.
А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа.
Зарегистрировавшись на сайте можно получить такой URL и бомбить сервак, который его обслуживает. Как вариацию такой стратегии могу предложить вынести более "тяжёлые" для сервера функции на отдельный front-end-сервак, а все критичные для работы функции оптимизировать по максимуму.Если входящий канал будет достаточно широким то его будет непросто тупо забить левым трафиком, а исходящий канал не пострадает, если файрволом дропать все пакеты, относящиеся к атаке (см. пример от m0Ray).
У меня была ситуёвина, когда досили один из серверов, который настраивал я.
Там стоит lighttpd.
Я написал небольшой скриптик, который раз в минуту (по крону) выкусывал хвост лога, выковыривал из него айпишники, которые слишком много хотели, и блокировал их через iptables.
Спустя сутки дос прекратился в силу полной бесполезности.
А сайтик был - баннерная биржа, и трафик у неё соответствующий.
Там стоит lighttpd.
Я написал небольшой скриптик, который раз в минуту (по крону) выкусывал хвост лога, выковыривал из него айпишники, которые слишком много хотели, и блокировал их через iptables.
Спустя сутки дос прекратился в силу полной бесполезности.
А сайтик был - баннерная биржа, и трафик у неё соответствующий.
И ещё по теме DoS'a: как бороться с SYN-флудом?
- Дополнительные IP-адреса помогут?
- Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
- Update: Apache mod_evasive.
Апач не нужен
Ещё идея: раздать всем чартам и биржам наш секретный URL с текущим курсом, чтобы они могли его брать. А всем клиентам раздать секретный URL для торговли чтобы в случае атаки клиенты не остались без доступа.
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу
У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами?Было и то и другое, но упало потому что трафиком завалило. Сейчас остались только идиоты которые шлют тяжёлый запрос параллельно в несколько потоков со статичных IP - написал их провайдерам, почти все отвалились уже
И ещё по теме DoS'a: как бороться с SYN-флудом?
- Дополнительные IP-адреса помогут?
- Фильтрация пакетов (типа, netfilter в Linux-е) поможет? Пример: CSF.
- Update: Apache mod_evasive.
позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу
У вас конкретно проблема в загрузке канала ненужным трафиком или в загрузке процессора (итп) ненужными запросами? я бы в первую очередь постарался увеличить мощность и эффективность самих серверов
В общем случае это не поможет.
У провайдеров есть специальные цисковские железки для защиты от DDOS,
Не не, эту систему ддосы уже валят.
Речь о сети специальных серверов, которые позволяют отсечь трафик ещё на подходе, когда он не сконцентрировался в один шнурок к серверу. Услуга предоставляется в виде форварда уже чистых коннектов к конкретному ипшнику.
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?
Довольно хорошо. Я знаю как минимум один проект который такую защиту использует: dirty.ru
Quote
И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
За прибыль в 300% в неделю можно положить даже жж Навального (или что там у нас самое неприступное сейчас?)
дос-атака стоит примерно от 10 до 500 долларов всего. а для технарей-итшников-криптографов вообще бесплатно может быть - тут ведь много народу, может кто и этим бизнесом занимается.
Люди, вы главное за биткоины свои не бойтесь - они будут и $5 стоить. Это всё болезни роста, обязательно что-нибудь будет придумано. Может вообще обмен уйдёт из www в почту - роботу посылаешь письмо он торгует. Или типа того, варианты можно придумать.
Главное ведь что надёжности самих биткоинов люди доверяют.
я бы в первую очередь постарался увеличить мощность и эффективность самих серверов
В общем случае это не поможет.
У провайдеров есть специальные цисковские железки для защиты от DDOS,
свою такую покупать я считаю излишне, надо пользоваться услугами.
Кроме того, реализация сервера должна быть масштабируемой, чтобы оплачивать пропорционально нагрузке (сейчас все облачное модно)
Поэтому считаю, что надо разрабатывать сразу с расчетом на аренду в каком-нибудь Amazon EC2 или как там это называется
Кроме того, а английской вики какой-то сисадмин за биткоины предлагал услугу настройки распределенного хостинга,
когда сайт реплицируется на много серверов в разных географических локациях, это дает минимальное время отклика для местных жителей (быстрый сайт)
Ну а база может быть и отдельно от морды, она не будет публичной и не будет попадать под атаку.
Видал я рекламу, типа, защита серверов от DoS-а провайдером. Интересно, как она работает?
И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
И вот ещё на тему DoS-а: я бы в первую очередь постарался увеличить мощность и эффективность самих серверов, чтобы они сами по себе могли справляться, например, с большим количеством тупых запросов.
> с утра
Владивосток?
Владивосток?
Вот что мне приснилось:
ддосы это надолго. НО! Защититься от ддос именно в России кмк проще чем в других местах из-за ненавистной централизации инфраструктуры, в том числе - интернета.
Знаете есть сервисы, с расставленными в узловых местах хостами, которые фильтруют трафик? Так вот они в нашем случае хорошо сработают. Но при этом наши сайты, биржи, майнинги и т.д. станут недоступны загранице (а может и нет? у меня такого опыта нет, я только теорию представляю и схемы рунета не видел)... Можно даже объединиться в один канал чтобы не платить много денег за такой сервис (он не дорог но и не так уж дёшев для маленького проекта)
вот такое мне опять с утра (как в тот раз!) приснилось... ещё не проснулся
ддосы это надолго. НО! Защититься от ддос именно в России кмк проще чем в других местах из-за ненавистной централизации инфраструктуры, в том числе - интернета.
Знаете есть сервисы, с расставленными в узловых местах хостами, которые фильтруют трафик? Так вот они в нашем случае хорошо сработают. Но при этом наши сайты, биржи, майнинги и т.д. станут недоступны загранице (а может и нет? у меня такого опыта нет, я только теорию представляю и схемы рунета не видел)... Можно даже объединиться в один канал чтобы не платить много денег за такой сервис (он не дорог но и не так уж дёшев для маленького проекта)
вот такое мне опять с утра (как в тот раз!) приснилось... ещё не проснулся
Jump to: