DDOS защита

[vladinc]

Намерих ето това: http://deflate.medialayer.com/
Дали има смисъл от него да се слага или е боза...
Някой по-навътре в тези неща дали ще може да даде мнение?

 

[r.stefanov]

От: DDOS защита

Относително е. Метода е ефективен за атаки в много малък мащаб. Можеш лесно да го провериш ако имаш няколко сървъра и се опиташ да "задръстиш" канала на един от тях. И то само ако ресурсите на сървъра са достатъчни, рам, трафик и т.н. А до колкото виждам от опит, повечето хора изцеждат на максимум машинките си. Просто не си струва да отделяш ресурси за нещо, което не върши почти никаква работа. Ако някой иска да направи беля, той ще я направи. По-добре тази рам да се заделя за mysql или php.

Вече ако го сложиш на отделен сървър, който е пред другите и той поема натоварването, да. Например:



Така съм съгласен. Но пък за dedicated машина, която играе ролята на стена има много по-добри решения от този скрипт.

Ако си стигнал до там, че да ти трябва ддос защита, то би трябвало да можеш да си позволиш да е като хората.

П.П. - пак ще се натрапя с моите методи, но ... Много по-добре ще е да сложиш едно Nginx прокси отпред. Той има модули за няколко типа flood.

 

[npetrov]

От: DDOS защита

Здравей,
Мое мнение е, че винаги има смисъл от firewall. Конкретно с този не съм работил, но той изглежда работи на принцип който проверява за броя кънекции от всеки един IP адрес към машината и по предварително зададени параметри ги блокира в IPtables. Можеш да направиш един stress тест на машината където мислиш да го слагаш, като най-лесния вариант за такъв сигурно е ab - от пакета apache2-utils (Debian), в CentOS е в httpd. Мисля, че не мога да пускам линкове все още и не мога да ти дам примерен тест но ако потърсиш за apache stress test with ab например, лесно ще намериш примери. Пускаш теста от друг машина и с netstat -punta | grep 80 | awk '{print $5}' | cut -d: -f1| sort | uniq -c | sort -rnk1 |head следиш за броя кънекции както и за load и състояние на "тестваната" машина. Ако започва да load-ва направи теста след като си пуснал и firewall-а но внимавай да не си блокираш адреса.

 

[Blinky]

От: DDOS защита

Има смисъл от файруол. Проблемът при него е, че трябва да бъде доста добре настроен, защото може да има обратното действие. Поне по мои наблюдения.

 

[vladinc]

От: DDOS защита

хм , не че имам нужда.. просто ми беше интересно да прочета мнение на някой по-кипял от мен..
винаги има какво да се научи при една добра дискусия

 

[s1yf0x]

От: DDOS защита

Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.

 

[vladinc]

От: DDOS защита

true true..

 

[npetrov]

От: DDOS защита

Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.

За ефективност при втория пример - да, няма да помогне, но този тип ddos са предимно целенасочени и едва ли би могло автоматизиран скрипт да ги спре.... Но е идеален за повечето прости опити за flood извършени от една или няколко машини.

 

[Blinky]

От: DDOS защита

Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.

Това е много добре поставена задача. Но ако се следва логиката, 1000 конекции от 1 IP мисля, че е по-близо до ботнет, отколкото другата алтернатива. Или поне във вариакт две говорим за доста добра атака-шедьовър.

 

[s1yf0x]

От: DDOS защита

Цените на подобни мрежи са толкова смешни, че "атака-шедьовър" вече не е нарицателно. Само някой малоумен келеш може да прави атака от 1 IP адрес. През последните години, това което виждам е, че се правят от много на брой IP адреси в различни класове мрежи. При ботнет (много на брой IP с малко конекции) този тип защита е напълно безполезен.

npetrov - не знам какво имаш предвид под "целенасочен" - всеки flood / ddos е целенасочен, нали се прави срещу определен хост / сайт .

 

[npetrov]

От: DDOS защита

Имам предвид, че ако си направиш блог за готварство или галерия със снимки на кучето, едва ли ще те флудят Но, ако това което предлагаш/показваш "пречи" на другите, то тогава ще мислиш за firewall-и и т.н.

 

[mobilio]

От: DDOS защита

Пусни един CS сървър, изчакай да стане популярен и почвай да раздаваш кикове и банове. flood-a е гарантиран!

ПС: В linux-bg.org всяка седмица има поне един новак дето пита същото - защита от DDOS. Вече като дойде новак и пита за DOS или DDOS, защити, firewalls и т.н. първия по-стар пита - за кънтър ли е? ако да темата ви е тук, ако не изкажи си болката.

ПС2: пак там новаците питат и как да се прекомпилира кернела за 1000 фпс че се правили повече хедшотове... имат си отделна тема.

 

[coolice]

бяха миказвали някъде (може и на маса да е било) че някакакъв от гигабитов сървър в чужбина им ушляплава на лапетата цс сървърите... ама това си е чист хейтърлък вместо да изграеш някаква игра някъде разваляш кефа на другите

иначе тук като го банахме един от измамниците в следващите дни от онлайн.нет дедибокс се опитваше да ни флуди ама с непроменлив неуспех

 

[r.stefanov]

От: Re: DDOS защита

бяха миказвали някъде (може и на маса да е било) че някакакъв от гигабитов сървър в чужбина им ушляплава на лапетата цс сървърите... ама това си е чист хейтърлък вместо да изграеш някаква игра някъде разваляш кефа на другите

иначе тук като го банахме един от измамниците в следващите дни от онлайн.нет дедибокс се опитваше да ни флуди ама с непроменлив неуспех

И забравяш за лапетията и бот нетс (300-400gbps без проблеми ако имате и Catalyst). Не е скъпо.

Проблема е, че повечето хора си мислят, че инвестицията в подобно оборудване не си струва или търся какви ли не оправдания да я изкарат прекалено скъпа. Пък после се оплакват по форумите. Мина им времето на ddos атаките. Още по-голям проблем е, че така разсъждават почти всички бизнеси в България.

Едва ли някои ще тръгне да флъди CS сървър с повече от 2-3gpbs и десетина айпи адреса, а с тях може справи елементарен firewall или flood зона с nginx, които да "оберат" натоварването.

 

[kokaracha]

От: DDOS защита

Напротив,много са актуални и разпостранени даже атаките.
Нищо не можеш да направиш с тази схема.Ако трафика си идва няма как да го спреш само със филтрация,просто ще ти запълни канала и ще ти скапе услугата.
Инвестирането в техника до някъде е оправдано ако имаш достатъчно широк канал или достатъчно машини или услуги който да защитиш,а това обикновенно не е така.Не всеки може да си позволи и такава техника

 

[mlazarov]

r.stefanov, постнал си две снимки, които нямат абсолютно нищо общо между себе си.

Чувал ли си за Catalyst, който може да издържи на подобен трафик - 25G/s? Провери за цени преди да даваш забавни идеи

 

[r.stefanov]

От: Re: DDOS защита

r.stefanov, постнал си две снимки, които нямат абсолютно нищо общо между себе си.

Чувал ли си за Catalyst, който може да издържи на подобен трафик - 25G/s?

http://www.cisco.com/warp/public/cc/pd/si/casi/ca5000/prodlit/c5505_ds.pdf

The architecture starts at 3.6 Gbps and scales to more
than 25 Gbps of total switching capacity

ebay

Това са само примери. Можеш ако искаш и желязото на F5 да използваш, ама аз не съм им фен. http://www.f5.com/it-management/solutions/ddos-protection/overview/

И колкото и да е скъпо за мен си струва винаги да си готов за най-лошото.

 

[kokaracha]

От: DDOS защита

А дано,ама надали

 

[mlazarov]

r.stefanov, няма как да си винаги готов, освен ако не извадиш едни 200хил+ в гущери за тия 25G/s

Със същия оптимизъм можеш да влезеш в някоя друга тема от форума, свързана със SEO, и да препоръчаш на хората да си купят Google за по-сигурна оптимизация на сайтовете им.

 

[r.stefanov]

От: Re: DDOS защита

r.stefanov, няма как да си винаги готов, освен ако не извадиш едни 200хил+ в гущери за тия 25G/s

Със същия оптимизъм можеш да влезеш в някоя друга тема от форума, свързана със SEO, и да препоръчаш на хората да си купят Google за по-сигурна оптимизация на сайтовете им.

Ако проекта ти е сериозен ще се бръкнеш не за 200к ами и за 200ккк ако трябва. Ти поне недей разсъждава така. В доста фирми съм питал и не са ти нужни 6 цифрени суми. Играл съм си и в нас, колкото и елементарна да ми е "лабораторията". Има куп решения, а 25гбпс са нищо в днешно време.

От SEO не разбирам освен нещата, които са базирани на чиста логика. Там едва ли ще ме видиш да пиша