DDOS защита

r.stefanov

r.stefanov

New Member
От: DDOS защита

Относително е. Метода е ефективен за атаки в много малък мащаб. Можеш лесно да го провериш ако имаш няколко сървъра и се опиташ да "задръстиш" канала на един от тях. И то само ако ресурсите на сървъра са достатъчни, рам, трафик и т.н. А до колкото виждам от опит, повечето хора изцеждат на максимум машинките си. Просто не си струва да отделяш ресурси за нещо, което не върши почти никаква работа. Ако някой иска да направи беля, той ще я направи. По-добре тази рам да се заделя за mysql или php.

Вече ако го сложиш на отделен сървър, който е пред другите и той поема натоварването, да. Например:

zzzz.png

Така съм съгласен. Но пък за dedicated машина, която играе ролята на стена има много по-добри решения от този скрипт.

Ако си стигнал до там, че да ти трябва ддос защита, то би трябвало да можеш да си позволиш да е като хората. :)

П.П. - пак ще се натрапя с моите методи, но ... Много по-добре ще е да сложиш едно Nginx прокси отпред. Той има модули за няколко типа flood.
 

Прикачени файлове

  • zzzz.png
    zzzz.png
    3.9 KB · Преглеждания: 17
N

npetrov

New Member
От: DDOS защита

Здравей,
Мое мнение е, че винаги има смисъл от firewall. Конкретно с този не съм работил, но той изглежда работи на принцип който проверява за броя кънекции от всеки един IP адрес към машината и по предварително зададени параметри ги блокира в IPtables. Можеш да направиш един stress тест на машината където мислиш да го слагаш, като най-лесния вариант за такъв сигурно е ab - от пакета apache2-utils (Debian), в CentOS е в httpd. Мисля, че не мога да пускам линкове все още и не мога да ти дам примерен тест но ако потърсиш за apache stress test with ab например, лесно ще намериш примери. Пускаш теста от друг машина и с netstat -punta | grep 80 | awk '{print $5}' | cut -d: -f1| sort | uniq -c | sort -rnk1 |head следиш за броя кънекции както и за load и състояние на "тестваната" машина. Ако започва да load-ва направи теста след като си пуснал и firewall-а но внимавай да не си блокираш адреса.
 
vladinc

vladinc

New Member
От: DDOS защита

хм , не че имам нужда.. просто ми беше интересно да прочета мнение на някой по-кипял от мен..
винаги има какво да се научи при една добра дискусия :)
 
s1yf0x

s1yf0x

Well-Known Member
От: DDOS защита

Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.
 
N

npetrov

New Member
От: DDOS защита

s1yf0x каза:
Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.
Увеличете...

За ефективност при втория пример - да, няма да помогне, но този тип ddos са предимно целенасочени и едва ли би могло автоматизиран скрипт да ги спре.... Но е идеален за повечето прости опити за flood извършени от една или няколко машини.
 
Blinky

Blinky

Owner
От: DDOS защита

s1yf0x каза:
Замисли се дали е ефективен този метод при следните ситуации:

1. атакува те един IP адрес с 1000 конекции ?!? - ефективен

обаче

2. атакуват те 1000 IP адреса с по 1 конекция ?!? - как скрипта ще различи, кои конекции са легитимни и кои са злонамерени?

Сега можеш и сам да си отговориш на въпроса дали има смисъл от него.
Увеличете...

Това е много добре поставена задача. :) Но ако се следва логиката, 1000 конекции от 1 IP мисля, че е по-близо до ботнет, отколкото другата алтернатива. Или поне във вариакт две говорим за доста добра атака-шедьовър. :)
 
s1yf0x

s1yf0x

Well-Known Member
От: DDOS защита

Цените на подобни мрежи са толкова смешни, че "атака-шедьовър" вече не е нарицателно. Само някой малоумен келеш може да прави атака от 1 IP адрес. През последните години, това което виждам е, че се правят от много на брой IP адреси в различни класове мрежи. При ботнет (много на брой IP с малко конекции) този тип защита е напълно безполезен.

npetrov - не знам какво имаш предвид под "целенасочен" - всеки flood / ddos е целенасочен, нали се прави срещу определен хост / сайт .
 
N

npetrov

New Member
От: DDOS защита

Имам предвид, че ако си направиш блог за готварство или галерия със снимки на кучето, едва ли ще те флудят :) Но, ако това което предлагаш/показваш "пречи" на другите, то тогава ще мислиш за firewall-и и т.н.
 
mobilio

mobilio

Well-Known Member
От: DDOS защита

Пусни един CS сървър, изчакай да стане популярен и почвай да раздаваш кикове и банове. flood-a е гарантиран!

ПС: В linux-bg.org всяка седмица има поне един новак дето пита същото - защита от DDOS. Вече като дойде новак и пита за DOS или DDOS, защити, firewalls и т.н. първия по-стар пита - за кънтър ли е? ако да темата ви е тук, ако не изкажи си болката.

ПС2: пак там новаците питат и как да се прекомпилира кернела за 1000 фпс че се правили повече хедшотове... имат си отделна тема.
 
coolice

coolice

Owner
бяха миказвали някъде (може и на маса да е било) че някакакъв от гигабитов сървър в чужбина им ушляплава на лапетата цс сървърите... ама това си е чист хейтърлък вместо да изграеш някаква игра някъде разваляш кефа на другите

иначе тук като го банахме един от измамниците в следващите дни от онлайн.нет дедибокс се опитваше да ни флуди ама с непроменлив неуспех :)
 
r.stefanov

r.stefanov

New Member
От: Re: DDOS защита

coolice каза:
бяха миказвали някъде (може и на маса да е било) че някакакъв от гигабитов сървър в чужбина им ушляплава на лапетата цс сървърите... ама това си е чист хейтърлък вместо да изграеш някаква игра някъде разваляш кефа на другите

иначе тук като го банахме един от измамниците в следващите дни от онлайн.нет дедибокс се опитваше да ни флуди ама с непроменлив неуспех :)
Увеличете...

office_network.jpg

pew-pew-more.jpg

И забравяш за лапетията и бот нетс (300-400gbps без проблеми ако имате и Catalyst). Не е скъпо.

Проблема е, че повечето хора си мислят, че инвестицията в подобно оборудване не си струва или търся какви ли не оправдания да я изкарат прекалено скъпа. Пък после се оплакват по форумите. Мина им времето на ddos атаките. Още по-голям проблем е, че така разсъждават почти всички бизнеси в България.

Едва ли някои ще тръгне да флъди CS сървър с повече от 2-3gpbs и десетина айпи адреса, а с тях може справи елементарен firewall или flood зона с nginx, които да "оберат" натоварването.
 
Последно редактирано:
K

kokaracha

Member
От: DDOS защита

Напротив,много са актуални и разпостранени даже атаките.
Нищо не можеш да направиш с тази схема.Ако трафика си идва няма как да го спреш само със филтрация,просто ще ти запълни канала и ще ти скапе услугата.
Инвестирането в техника до някъде е оправдано ако имаш достатъчно широк канал или достатъчно машини или услуги който да защитиш,а това обикновенно не е така.Не всеки може да си позволи и такава техника :)
 
mlazarov

mlazarov

Active Member
r.stefanov, постнал си две снимки, които нямат абсолютно нищо общо между себе си.

Чувал ли си за Catalyst, който може да издържи на подобен трафик - 25G/s? Провери за цени преди да даваш забавни идеи ;)
 
r.stefanov

r.stefanov

New Member
От: Re: DDOS защита

mlazarov каза:
r.stefanov, постнал си две снимки, които нямат абсолютно нищо общо между себе си.

Чувал ли си за Catalyst, който може да издържи на подобен трафик - 25G/s?
Увеличете...

http://www.cisco.com/warp/public/cc/pd/si/casi/ca5000/prodlit/c5505_ds.pdf

The architecture starts at 3.6 Gbps and scales to more
than 25 Gbps of total switching capacity
Увеличете...

ebay

Това са само примери. Можеш ако искаш и желязото на F5 да използваш, ама аз не съм им фен. http://www.f5.com/it-management/solutions/ddos-protection/overview/

И колкото и да е скъпо за мен си струва винаги да си готов за най-лошото.
 
mlazarov

mlazarov

Active Member
r.stefanov, няма как да си винаги готов, освен ако не извадиш едни 200хил+ в гущери за тия 25G/s;)

Със същия оптимизъм можеш да влезеш в някоя друга тема от форума, свързана със SEO, и да препоръчаш на хората да си купят Google за по-сигурна оптимизация на сайтовете им.
 
r.stefanov

r.stefanov

New Member
От: Re: DDOS защита

mlazarov каза:
r.stefanov, няма как да си винаги готов, освен ако не извадиш едни 200хил+ в гущери за тия 25G/s;)

Със същия оптимизъм можеш да влезеш в някоя друга тема от форума, свързана със SEO, и да препоръчаш на хората да си купят Google за по-сигурна оптимизация на сайтовете им.
Увеличете...

Ако проекта ти е сериозен ще се бръкнеш не за 200к ами и за 200ккк ако трябва. Ти поне недей разсъждава така. В доста фирми съм питал и не са ти нужни 6 цифрени суми. Играл съм си и в нас, колкото и елементарна да ми е "лабораторията". Има куп решения, а 25гбпс са нищо в днешно време.

От SEO не разбирам освен нещата, които са базирани на чиста логика. Там едва ли ще ме видиш да пиша :D
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе