Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2007-06-03 17:00:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Assemblage 23 - CONTEMPT
Entry tags:fascism, lj, ljr, putin

соображения по технологиям ДОС-атак
[info]ru_nbp@lj закрыт Abuse, а равно и [info]ru_nazbol@lj.
Партийцы, уважаемые, перебрались к нам.

Можно заключать пари, когда LJR настанет пиздец, и
каким именно образом. К счастью, у нас уже есть запасной сервер,
совершенно убийственных достоинств. Но что-то делать надо.

Если у вас есть соображения по технологиям ДОС-атак,
которыми валят LJ, и как с ними бороться, расскажите
пожалуйста.

Привет



(Добавить комментарий)


[info]eksray
2007-06-03 19:11 (ссылка)
Спасибо за площадку.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2007-06-03 19:13 (ссылка)
Да не за что.

(Ответить) (Уровень выше)


[info]kouzdra
2007-06-03 19:19 (ссылка)
Боюсь, что особенно никак. Единственно - хочу напомнить, что кроме DoS атак бывают и просто хаки. И сейчас этим тоже могут заняться серьезные люди, так что иметь в виду надо.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2007-06-03 19:27 (ссылка)
На новый сервер я даже юзеров пускать не буду.

Старый сервер защищен неплохо, хотя если у тебя есть
идеи, как лучше - напиши, все сделаю

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kouzdra
2007-06-03 19:44 (ссылка)
Да кроме того, чтобы сейчас не расслабляться и аккуратно все патчи ставить - нет. Тут же уже специфически админская наука, а я же этим только как юзер занимался. Ну разве что поскольку программист - то несколько лучше понимаю контекст.

(Ответить) (Уровень выше)


[info]kouzdra
2007-06-04 02:31 (ссылка)
PS: У меня есть ровно две чайницких идеи - первая - сделать список IP, с которых ходят "постоянные клиенты" LJR - чтобы в случае чего можно было заблокировать все, кроме них - чтобы хотя бы как-то функционирование площадки сохранить.

Второе - в случае серьезной DoS атаки надо как-то обеспечить доступность сервера хотя бы для админа - потому что без этого вообще ничего будет не сделать. Как это организовать я не вполне понимаю.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 03:13 (ссылка)
>надо как-то обеспечить доступность сервера хотя бы для
> админа... Как это организовать я не вполне понимаю.

Нужна KVM-консоль. У нас есть.

>сделать список IP, с которых ходят "постоянные клиенты" LJR

Проще сделать секретное зеркало, на другом сервере,
и говорить адрес только своим. Это, кстати, будет
сделано по-любому.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]do_
2007-06-05 17:55 (ссылка)
Подпольный блогхостинг? Его поисковики не найдут разве? Кто-нибудь вобъёт "tiphareth" в поисковик, и сразу всё найдёт, и другим расскажет. Да и организаторы атаки, если умные, сами догадаются, что надо поискать. Получается, надо делать чтобы опять-таки было _видно_ только своим, по авторизации.

(Ответить) (Уровень выше)


[info]tritopora
2007-06-04 12:16 (ссылка)
А если адрес динамический?

(Ответить) (Уровень выше)


[info]princeofspace
2007-06-03 19:31 (ссылка)
каким-бы не хитрым способом чайнику свой дневничок на диск сохранить, не подскажете?

(Ответить) (Ветвь дискуссии)


[info]5cr34m
2007-06-03 19:33 (ссылка)
http://ljbook.com/

(Ответить) (Уровень выше)


[info]5cr34m
2007-06-03 19:36 (ссылка)
еще у миши где-то скрипт был.

(Ответить) (Уровень выше)


[info]tiphareth
2007-06-03 19:37 (ссылка)
http://ljsm.feechki.org/ljsm.html

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]yushi
2007-06-04 12:41 (ссылка)
ljsm ведь, по-моему, не дружит с юникодом?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 12:45 (ссылка)
Новые версии делают все

(Ответить) (Уровень выше)


[info]5cr34m
2007-06-03 19:32 (ссылка)
а где народ вообще берет мощности для атак?

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2007-06-03 19:36 (ссылка)
Это не народ, это гебе

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]5cr34m
2007-06-03 19:40 (ссылка)
я понял. народ в смысле "множество людей".
без правильных смыслов в и коннотаций.
я так понимаю что для атаки нужно как минимум много разных ай-пи.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-03 19:43 (ссылка)
Есть люди, которые продают спаммерам
backdoors к тысячам взломанных компутеров.
Оборот таких деятелей - сотни тысяч баксов в год.
В основном эта индустрия в России распространена.
Я так понимаю, что гебе на них вышло и пользуется
той же базой для дос-атак. Бесплатно, что особенно
пикантно.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]5cr34m
2007-06-03 19:50 (ссылка)
охуительно.
и почему их всех до сих пор не убили.

(Ответить) (Уровень выше)


[info]pzz
2007-06-04 01:00 (ссылка)
Это по-другому и не сделаешь. Если DoS-атака идет с какого-то определенного адреса (сети), то этот адрес рано или поздно отключат таки от всемирного роутинга. Только у распределенных атак, которые задействуют множество компутеров, есть шанс.

(Ответить) (Уровень выше)


[info]utenok_mu
2007-06-03 21:48 (ссылка)
Вообще шиза - лй не пропускает сообщения со словом dpni (я тоже пробовал безрезультатно).

http://khramov-s.livejournal.com/269333.html

(Ответить) (Ветвь дискуссии)


[info]prool
2007-06-03 23:46 (ссылка)
Подтверждаю. У меня тоже тетраграмматон dpni не попал в ЖЖ

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]vche.livejournal.com
2007-06-04 04:01 (ссылка)
+1 Бельгия

(Ответить) (Уровень выше)


[info]pzz
2007-06-04 01:10 (ссылка)
Если у вас есть соображения по технологиям ДОС-атак,
которыми валят LJ, и как с ними бороться, расскажите
пожалуйста.


Надо бы посмотреть, как эти атаки живьем выглядят. Тогда можно будет попробовать что-нибудь придумать. Например, написать ядреный модуль, который не пропускает более чем N TCP-коннектов в секунду с одного и того же адреса. Если даже без затей держать history в виде RB-tree, на миллион адресов хватит 24 мегабайта - вполне реальная цифра. И вряд ли в атаку вовлечено больше миллиона компутеров.

Главное сейчас для тебя, чтобы твой провайдер, если тебя начнут атаковать, тебя не прогнал.

(Ответить) (Ветвь дискуссии)


[info]tws5
2007-06-04 01:32 (ссылка)
tak ved' pri syn-flood atake adres v pakete vse ravno lipovyj.
a ataka na otdel'noe comminity ljr vryad li komu nuzhna

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 01:42 (ссылка)
Во-первых, сейчас, говорят, роутеры не пропускают пакетов с липовых адресов (обратный роутинг должен показывать более-менее туда, откуда пакет пришел).

Во-вторых, от банального SYN-flood'а (когда просто посылают SYN'и и не дожидаются завершения handshake) теоретически должны помогать линуксячие SYN cookies.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]resv.livejournal.com
2007-06-04 02:05 (ссылка)
uRPF (unicast reverse path forwarding) checks, о котором Вы писали выше, очень мало у кого из провайдеров используется. Потому, что большому провайдеру он все ломает на раз-два. Так что никаких проверок обратного роутинга.

Банальным син-флудом, или вообще флудом чем-угодно, можно просто забить канал до сервера, и привет. Хоть обфильтруйся в своем ядре... ничего уже не поможет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 03:41 (ссылка)
Банальным син-флудом, или вообще флудом чем-угодно, можно просто забить канал до сервера, и привет. Хоть обфильтруйся в своем ядре... ничего уже не поможет.


Скорее всего, у врагов пока хватает сил на то, чтобы уложить апач, а не канал. Я делаю такой вывод по тому, как LJ защищается - закрывает отдельную комьюнити, а не весь сервис. Чтобы закрыть комьюнити, надо хотя бы принять и распарсить первую строку HTTP header'а.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:07 (ссылка)
Из этого как раз видно, что ложат не апач,
а тот кластер мыскл-базы, где лежит ru-nbp.
Потому что Апач один на всех, а кластеров сотни.

Внутреннее устройство LJ:
http://danga.com/words/2005_oscon/oscon-2005.pdf

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:21 (ссылка)
Я бы предположил, что у них есть коробочка, которая умеет парсить первую строку запроса (если не весь запрос), и дальше не пропускать. Очень может быть, что она же разбрасывает запросы уже по кластерам с апачами.

Вряд ли комьюнити отображаются на кластеры 1:1. Если бы ты был прав, кроме ru_nbp еще бы несколько (десятков?) комьюнитей бы померло.

Ты обрати еще внимание, в апаче запрос, который ждет ответа от базы, блокирует целый процесс. Сколько по-твоему таких издевательств может выдержать ихний апач, прежде чем сдохнет? Нет, им именно апача надо защищать, если они не хотят рухнуть всем сайтом.

(Ответить) (Уровень выше)


[info]tiphareth
2007-06-04 03:19 (ссылка)
>Надо бы посмотреть, как эти атаки живьем выглядят.

А как посмотреть? Я написал Носику, он
говорит " у нас нет доступа к тамошним логам."

>Главное сейчас для тебя, чтобы твой провайдер, если тебя
>начнут атаковать, тебя не прогнал.

Там очень жесткий договор.

>Например, написать ядреный модуль, который не пропускает
>более чем N TCP-коннектов в секунду с одного и того же
>адреса.

Это делается через ip_tables. Более того, в shorewall
есть соответствующая функциональность, которая это
дело гибко конфигурирует, включается за минуту.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:06 (ссылка)
А как посмотреть? Я написал Носику, он
говорит " у нас нет доступа к тамошним логам."


Ну как начнут тебя ломать, так сразу и увидим :-)

Хорошо бы только, чтобы у тебя остался доступ к компутеру в тот момент, когда тебя ломать будут. Мне было бы интересно посмотреть, как эта атака выглядит через сниффер (например, tcpdump). Только мне хочется смотреть на бинарный дамп (tcpdump -w).

Это делается через ip_tables. Более того, в shorewall
есть соответствующая функциональность, которая это
дело гибко конфигурирует, включается за минуту.


Я что-то сомневаюсь, что iptables тебе чем-нибудь помогут, когда тебя начнут долбить запросами с нескольких тысяч разных адресов. Говорят также, iptables заметно тормозят, когда правил много.

Я бы воткнул такой модуль _перед_ iptables, чтобы и-таблесам жизнь тоже облегчить.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:11 (ссылка)
>Я что-то сомневаюсь, что iptables тебе чем-нибудь помогут,
>когда тебя начнут долбить запросами с нескольких тысяч
>разных адресов. Говорят также, iptables заметно тормозят,
>когда правил много.

В новых ядрах можно задать ip_tables
инструкцию "не больше n новых коннектов
за k секунд". Если у тебя уже открыт ssh
на сервер, то это решает проблему доступа,.

Спасибо за идею, конечно, я подумаю еще.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:28 (ссылка)
В новых ядрах можно задать ip_tables
инструкцию "не больше n новых коннектов
за k секунд". Если у тебя уже открыт ssh
на сервер, то это решает проблему доступа,.


Это не то, что тебе нужно. Тебе нужно, "не более n коннектов с одного и того же адреса". Или, "адрес, которого мы обслужили недавно, обслуживается в последнюю очередь".

Только это должно работать с большим количеством ядресов - десятки тысяч. Как я написал в самом начале, до миллионов адресов сделать несложно.

В общем, мое тебе предложение: найди толкового аспиранта-программера, а я им поруковожу удаленно. Потом вместе статью в ACM напишем :-)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:39 (ссылка)
> "не более n коннектов с одного и того же адреса"

Такое в ip_tables тоже есть. Такое у нас включено в Apache, кстати,
15 коннектов и все.

>Или, "адрес, которого мы обслужили недавно, обслуживается в последнюю очередь".

А такое в линуксах тоже делается, но не через ip_tables,
а через другой модуль. И я не думаю, что это сильно нужно.

>В общем, мое тебе предложение: найди толкового
>аспиранта-программера, а я им поруковожу удаленно.

Спасибо, да. Я буду иметь в виду

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-06 16:15 (ссылка)
> "не более n коннектов с одного и того же адреса"

Такое в ip_tables тоже есть. Такое у нас включено в Apache, кстати,
15 коннектов и все.


Я посмотрел (по диагонали, если честно). По-моему, все таки нету. Количество запросов в секунду вообще ограничить можно, но это не то, что нужно: DDoS'овские запросы не оставят почти никаких шансов нормальным запросам. Надо ограничивать именно повторяющиеся запросы с одних и тех же адресов. Но при этом понимать, что таких адресов может быть много, десятки тысяч.

Да и где бы нетфильтру хранить history последних запросов? Без такого хранилища очевидно эту фичу не реализуешь. Не в conntrack'е же - он предназначен немного для других целей и вряд ли будет себя вести хорошо, если его забить десятками тысяч плохих адресов.

В апаче же ограничивать число коннектов несколько поздно: пока коннект дойдет до апача, он уже успеет скушать слишком много ресурсов.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-06 17:40 (ссылка)
>Я посмотрел (по диагонали, если честно). По-моему, все
>таки нету.

Вот например
http://www.debian-administration.org/articles/187

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
--set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
--update --seconds 60 --hitcount 4 -j DROP

The second rule is where the magic actually happens. The
--update flag tests whether the IP address is in the list
of recent connections, in our case each new connection on
port 22 will be in the list because we used the --set flag
to add it in the preceeding rule.

Once that's done the --seconds flag is used to make sure
that the IP address is only going to match if the last
connection was within the timeframe given. The --hitcount
flag works in a similar way - matching only if the given
count of connection attempts is greater than or equal to
the number given.

Together the second line will DROP an incoming connection if:

* The IP address which initiated the connection has
previously been added to the list and
* The IP address has sent a packet in the past 60 seconds and
* The IP address has sent more than 4 packets in total.

Такие дела
Миша

(Ответить) (Уровень выше)


[info]tiphareth
2007-06-06 17:50 (ссылка)
"for systems with more than 1GB of RAM, default CONNTRACK_MAX value is limited to 65536 (but can of course be set to more manually)"

У нас 6 гиг рама, так что это далеко не предел

(Ответить) (Уровень выше)


[info]tiphareth
2007-06-06 17:54 (ссылка)
Нужно в ядро добавить модуль
ipt_recent, CONFIG_IP_NF_MATCH_RECENT=m

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-08 02:49 (ссылка)
Это может и будет работать. Надо попробовать :-)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-08 03:06 (ссылка)
Вот тут много еще полезного в ссылках
http://dbg.livejournal.com/64577.html

(Ответить) (Уровень выше)


[info]vche.livejournal.com
2007-06-04 04:05 (ссылка)
Они, скорее всего, ломают ближайший ДНС сервачек. И гонят через него.
Плюс бот-неты забугоные.
Я давно за этими странными сетями наблюдал.
Например на зарубежных русских сайтах одновременно висело по 10000 юзеров.
Или вдруг форум умирал и становился порнушным.
они жили здесь:
http://www.russian-belgium.be/index.php
До смены провайдера.
Это - ГБшный сайт.
Думал, что просто кардят, тк оттуда(с сервера засовывали трояна и шли странные пакетики - из россии через тебя и в онлайн американский магазин машин.)

(Ответить) (Уровень выше)


[info]vche.livejournal.com
2007-06-04 04:00 (ссылка)
Есть одна идея, но уж больно клевая. :)
Короче. Бот-неты живут в основном на винде. Никсовых ботов - намного меньше.
Сталбыть ЗАПРЕТИТЬ ВИНДЕ доступы на сервера В МОМЕНТ АТАКИ.
Это, понятно, временное решение, и напишут боты для винды, которые будут ее прятать, но сам факт, что вывесить одно обьявление - винда? - нах.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:03 (ссылка)
А как отличить Линукс от виндоза по TCP-пакету?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]vche.livejournal.com
2007-06-04 04:09 (ссылка)
Спросить! Говорю же - временное решение. НО старые бот неты со старыми троянами - уже не поканают. ПОка будут переписывать - будут ошибки, юзеры может и прочухают, что у них на машине зверь живет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:13 (ссылка)
>Спросить!

(туплю) Кого спросить?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]vche.livejournal.com
2007-06-04 04:14 (ссылка)
Машину ЮЗЕРА. :))

(Ответить) (Уровень выше)


[info]vche.livejournal.com
2007-06-04 04:17 (ссылка)
http://leader.ru/secure/who.html

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:39 (ссылка)
Это они HTTP header распарсили. Хочешь я тебе что угодно в этот хидер напишу? :-)

Проблема в том, что во время DoS-атаки парсить хидер может быть дороговато. Особенно в user space.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]vche.livejournal.com
2007-06-04 04:46 (ссылка)
Да. Точно.

(Ответить) (Уровень выше)


[info]vche.livejournal.com
2007-06-04 04:49 (ссылка)
НО я же говорю как временная разовая мера. Или они каналы забивают напрочь?

(Ответить) (Уровень выше)

OS fingerprinting
(Анонимно)
2007-06-04 16:20 (ссылка)
Файрвол pf умеет делать passive OS fingerprinting по SYN-пакетам.

http://www.openbsd.org/faq/pf/filter.html#osfp

(Ответить) (Уровень выше)


[info]vche.livejournal.com
2007-06-04 04:14 (ссылка)
Собсна второе решение - несколько мутороное для юзера, но позволяющее держать живым сервер.
КАРТИНКИ С ЦИФРАМИ-БУКВАМИ ПЕРЕД ЛОГИНОМ НА СЕРВЕР!
Два три раза ошибся - БАН.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:37 (ссылка)
Зафлудят то место, которое проверяет правильность набора цифр.

Если бы не это, то можно было бы и без картинок. Например, попросить пользовательский бровсер решить задачку, которая требует много вычислений для решения и мало для проверки. Скажем, придумать продолжение к случайной последовательности чисел такое, что SHA1 от продолженной последовательности имеет нули в первых N битах (это не моя идея - такие идеи предлагались для защиты от массовых почтовых рассылок).

(Ответить) (Уровень выше)


[info]tws5
2007-06-04 16:13 (ссылка)
po defoltnomu TTL?

(Ответить) (Уровень выше)


(Анонимно)
2007-06-05 01:05 (ссылка)
Не TCP, а IP, по ttl. У венды ттл при выходе пакета из интерфейса равен 128, такого нет ни у одного из известных мне юниксов (у них обычно по 64, а машинка с НетБСД исторгает пакеты с 255). Соот-но если у пакета 100<ттл<127 (к примеру), то это венда.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-05 01:17 (ссылка)
Хорошо! Спасибо

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-08 02:56 (ссылка)
Ты серьезно рассматриваешь идею сделать LJR UNIX-only?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-08 03:03 (ссылка)
Я думаю при необходимости сделать несколько (десятки,
если нужно будет) кэширующих серверов, которые
будут отдавать запросы основному серверу.
Для этого ничего не нужно, кроме Apache/ngynx/tux,
что стоит копейки, траффик тоже небольшой.
Плодить их можно пачками, на всех не на ддосишься.

Сделать один из проксей линукс-онли, может,
имеет смысл. Чтоб люди, которые живут не по лжи,
имели свое отдельное от всех удовольствие.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-08 03:26 (ссылка)
Я думаю при необходимости сделать несколько (десятки,
если нужно будет) кэширующих серверов, которые
будут отдавать запросы основному серверу.
Для этого ничего не нужно, кроме Apache/ngynx/tux,
что стоит копейки, траффик тоже небольшой.
Плодить их можно пачками, на всех не на ддосишься.


У тебя же не статический контент. Так просто его не покешируешь.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-08 03:29 (ссылка)
http://en.wikipedia.org/wiki/Reverse_proxy

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-08 03:36 (ссылка)
И что? Если тебя завалить запросами на запись, твоему проксю ничего не останется, как их пропускать. Да и при запросе на чтение ему надо как-то узнать, не поменялась ли страничка.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-08 03:47 (ссылка)
>Если тебя завалить запросами на запись, твоему проксю
>ничего не останется, как их пропускать.

Ограничить число коннектов.

>Да и при запросе на чтение ему надо как-то узнать, не
>поменялась ли страничка.

Он их, в принципе, однократно кэширует, и сразу стирает.
Называется spoon feeding.

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-08 04:12 (ссылка)
>Если тебя завалить запросами на запись, твоему проксю
>ничего не останется, как их пропускать.

Ограничить число коннектов.


Ты вот как-то не понимаешь, что с точки зрения эффективности DDoS атаки нет никакой разницы, почему твой сайт больше не работает: потому что сервер перегружен, или потому, что уперлись в ограничитель числа коннектов (а сервер типа отдыхает).

The key to success - умение отличать "легитимный" запрос от нелегитимного.

Можно, конечно, построить систему, которая будучи перегружена запросами на запись, все же будет продолжать обслуживать запросы на чтение. Но у тебя же не сервер прогноза погоды с форумом. Без записи твой сервер сильно теряет в полезности.

Он их, в принципе, однократно кэширует, и сразу стирает.
Называется spoon feeding.


А смысл? Кеширование полезно только если файл можно скачать с основного сервера один раз, и потом отдать сразу большому количеству клиентов.

P.S. А как делается квотинг с '>' в начале строки?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-08 04:21 (ссылка)
>>Называется spoon feeding.

>А смысл?

Процесс с Apache для LJR весит 70 мег,
процесс с кеширующим Apache весит 4.
Соответственно, пока клиент скачивает
свою страницу, реверз-прокси успевает
открыть процесс на сервере, обработать
и закрыть.

>P.S. А как делается квотинг с '>' в начале строки?

Емаксом

Такие дела
Миша

(Ответить) (Уровень выше)


[info]kaledin
2007-06-10 03:16 (ссылка)
>потому, что уперлись в ограничитель числа коннектов

na dannom konkretnom promezhutochnom servere. a vse ostal'nye prodolzhayut rabotat'.

(Ответить) (Уровень выше)


[info]dpni_tmn
2007-06-04 06:18 (ссылка)
РАСПРОСТРАНЯЙТЕ ПРАВДИВУЮ ИНФОРМАЦИЮ!

Если у вас есть журнал - ПРОДУБЛИРУЙТЕ В СВОЕМ ЖУРНАЛЕ ЭТО СООБЩЕНИЕ!!!

Ставрополь. Хроника 3 июня 2007 г. - http://208.109.127.128/forum/showthread.php?p=50858

Заявление Центра общественных связей ДПНИ - http://14slov-spb.livejournal.com/34454.html

Обращение Координатора Центрального Совета ДПНИ к сторонникам и соратникам Движения, к жителям Ставрополя,

листовки для распространения - http://ljudota-koval.livejournal.com/3312.html

Краткий текст для распространения в интернете - http://koresch.livejournal.com/1987.html

Начало событий в Ставрополе - http://208.109.127.128/forum/showthread.php?t=3333

Народное сопротивление - что и как делать - http://208.109.127.128/forum/forumdisplay.php?f=77

Отключены основные журналов ДПНИ - d p n i .livejournal.com и d p n i _ ru.livejouenal.com, а также ряд журналов, через которые распространялась информация о событиях в Ставрополе. Также люди сообщают: "если в ЖЖ запостить статью, содержащую слово "d p n i .org", то сервис повисает и материал не публикуется. Если из материала убрать "d p n i .org", то все работает нормально" -

http://208.109.127.128/forum/showthread.php?t=3532
Подробнее про цензуру в ЖЖ:
http://rusram.livejournal.com/9884.html
http://idolopoklonnik.livejournal.com/63633.html
http://3o6yx.livejournal.com/537273.html

Вся хроника событий тут:
http://e-cat.livejournal.com/

(Ответить)


[info]lqp
2007-06-04 10:12 (ссылка)
А что, на LJR таки реально уже идут DDoS-атаки?

(Ответить)


[info]l4rz
2007-06-04 13:16 (ссылка)
Если атака осуществляется через bandwidth starvation, то необходимо, чтобы сервер размещался в datacenter с хорошим multigigabit connectivity.

Если же узким местом является не link а процессор сервера - существуют железки для противодействия таким атакам, которые анализируют пакеты вплоть до седьмого уровня и осуществляют фильтрацию по ряду критериев (сигнатурам атак). Например, Radware DefencePro.

Вопрос только в том, что и то, и другое стоит денег...

(Ответить) (Ветвь дискуссии)


[info]l4rz
2007-06-04 13:18 (ссылка)
err... DefensePro

(Ответить) (Уровень выше)


[info]ifp5
2007-06-04 13:17 (ссылка)
Не знаю насколько это впишется в бюджет, но есть разного рода аппаратно-программные решения для борьбы с DDoS, типа вот такой хренотени. В принципе некоторые провайдеры уже предоставляют услуги по борьбе с DDoS, то есть при наличии DDoS трафик клиента заворачивается через эту хренотень и от DDoS как-то фильтруется. У нас в конторе такое вроде бы поддерживается, могу спросить, если интересно на чем это сделано.

(Ответить)