1. esterio - 10 Июня, 2013 - 18:14:54 - перейти к сообщению
есть VDS от хетцнера. Стоит убунта. Подскажите как защитится от ДДоС-а. Приходит на ум iptables, но как уловить много конектов от разных IP. В общем буду рад любим рекомендациям.
2. EuGen - 10 Июня, 2013 - 20:57:24 - перейти к сообщению
Если Вы понимаете, что такое DDoS, то доллжны знать, что на уровне приложения или даже отдельного сервера эффективно с ним бороться крайне трудно. Здесь в ход идёт аппаратная защита, в основном, которая проводит эвристический анализ и анализ скачков нагрузки (Cisco PIX-серия, к примеру). В частности, DPI - туда же, но всё это очень недёшево.
3. Мелкий - 10 Июня, 2013 - 21:19:45 - перейти к сообщению
Начать можно с настройки nginx'а. Он умеет ограничивать число соединений с ip.
4. EuGen - 10 Июня, 2013 - 21:56:34 - перейти к сообщению
Мелкий
Идея популярная, но плохая для тех ресурсов, которые получают высокую нагрузку штатно. Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.
Идея популярная, но плохая для тех ресурсов, которые получают высокую нагрузку штатно. Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.
5. esterio - 10 Июня, 2013 - 22:22:00 - перейти к сообщению
спасибо за отзывы. я почитал про ддос и как его едать. поспрашивал народ. в общем все верно. чисто на програмном уровне мало что получится. надеюсь что хецтнер обеспечит должную защиту
6. Мелкий - 10 Июня, 2013 - 22:51:33 - перейти к сообщению
EuGen пишет:
Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.
Вроде бы любая защита от ddos предполагает такой риск. Вопрос количества ложных срабатываний и цены.
esterio пишет:
надеюсь что хецтнер обеспечит должную защиту
Не обеспечит. Наоборот, могут попросить переехать куда-нибудь.
7. EuGen - 10 Июня, 2013 - 23:05:49 - перейти к сообщению
Мелкий
Всё верно, но "лобовая" проверка редко применяется в случае, если подопытный ресурс относится к категории высоконагруженных (оно и понятно, там очень трудно отфильтровать через количество запросов, поскольку сами объемы большие). Вместо этого, как правило, применяют фильтры - то есть, исходя из некоторых контрольных статистических значений анализируемого трафика принимается решение о его пропускании. Оптимальнее всего это делается на аппаратном уровне (ПО попросту намного медленнее будет обрабатывать подобные вещи) - но некоторый простейший анализ можно применять и на уровне ПО. Например, если приходит запрос только на конкретную страницу, то, если в эту же секунду-две с этого же адреса нет запросов остального контента (стили, картинки и т.п.) - то этот запрос - "плохой" (вариант - кто-то вызвал страницу неумело напрямую через cURL, браузер точно запросил бы все остальные данные).
Всё верно, но "лобовая" проверка редко применяется в случае, если подопытный ресурс относится к категории высоконагруженных (оно и понятно, там очень трудно отфильтровать через количество запросов, поскольку сами объемы большие). Вместо этого, как правило, применяют фильтры - то есть, исходя из некоторых контрольных статистических значений анализируемого трафика принимается решение о его пропускании. Оптимальнее всего это делается на аппаратном уровне (ПО попросту намного медленнее будет обрабатывать подобные вещи) - но некоторый простейший анализ можно применять и на уровне ПО. Например, если приходит запрос только на конкретную страницу, то, если в эту же секунду-две с этого же адреса нет запросов остального контента (стили, картинки и т.п.) - то этот запрос - "плохой" (вариант - кто-то вызвал страницу неумело напрямую через cURL, браузер точно запросил бы все остальные данные).
8. esterio - 10 Июня, 2013 - 23:29:41 - перейти к сообщению
Мелкий пишет:
Не обеспечит. Наоборот, могут попросить переехать куда-нибудь.
Да как-бы я паникнул. Нмкакого ДДоСа не было(спасибо DeepVarvar что обьяснил). но на будущее было бы не плохо. И да у нас трафик не большой. Так-что если начнутся пики сразу станет ясно.