Хочу начать свой пост со слов благодарности филиалу UzNET и лично всем сотрудникам компании. Спасибо за хорошую работу и качественный сервис.
Вместе с тем... Сервер нашего журнала находится на колокейшн площадке UzNeta. Его постоянно ддосят , и он периодически виснет.
Мы обралитись в службу UzCert и получили заключение , что от ддос атак программным путем нельзя защититься. Необходима аппаратная защита, а она стоит немалых денег.
Коллокешн площадка Uznet такой защиты не дает, а редакция журнала покупать серьезную железку не будет. И дорого и глупо для одного порта покупать устройство расчитанное как минимум на десять.
Сейчас планируем переходить на хостинг под защитой от ддос атак... Но процесс не такой быстрый как хотелось бы. Кроме нашего сайта на сервере есть еще и сайты национального интернет-фестиваля, чемпионата по компьютерным играм , союза журналистов Узбекистана и другие проекты. Так что, пока и звоним просим ребутать.
Проблема заключется в том, что ночью и в выходные дни в слубжу техподдержки Uznet практически не дозвонишься. Либо короткие гудки (в час ночи-то) , или не берут трубку как сегодня с 14-00 по настоящее время (тел 244-48-04 и другие тоже). ПОМОГИТЕ плиз.
А вообще я считаю , что на коллкейшн площадке должны предоставляться услуги по аппаратной защите от ддос атак. Мы уйдем, уйдут другие , кто останется. Неужели нет желания оказать услуги и получить за это деньги. ИМХО могу ошибаться. Так не хочется прощаться со своим сервером:( Но видимо придется. Простите, если что...

P.S. В службу техподдержки support@uznet.net отписали еще 12 декабря. Ответа пока нет.

А вообще я считаю , что на коллкейшн площадке должны предоставляться услуги по аппаратной защите от ддос атак. Мы уйдем, уйдут другие , кто останется. Неужели нет желания оказать услуги и получить за это деньги.
Да, Вы правы, это серьезная проблема. Вообще считается нормой, когда хост-провайдер предоставляет своим клиентам все услуги. У нас же парадокс, должное просим.
Посмотрим, что на сей счёт ответит UzNet и другие провайдеры.

У нас же парадокс, должное просим.
По секрету могу сказать, что одна питерская компания-хостер сделала предложение дать нам дать бесплатно неограниченное простанство для сайта журнала. Им видите ли нужны полезные ресурсы легкодоступные в рунете.
Могу также сказать, что такое же предложение сделали из центра Узинфоком. Спасибо им огромное!!! Вот сейчас и думаем.

Александр Сучков, - если что - могу уступить место для вашего журнала из своего хостинга. Пока что могу точно сказать, что из 5000 МБ занято 1600 МБ. Остальное - свободно. Но - может возникнуть проблема с самим провайдером Узнет - они иногда блокируют мой хост по непонятным до сих пор причинам. И я как никак - выкручиваюсь. ;)

Ну вроде все теперь работает.
Спасибо!

А какого типа дос атаки против вас применяют выяснили? Просто от некоторых видов вполне возможно защитится и без железки с помощью опр. настроек сервера. И интересно за что вас так? Есть предположения?

Мы обралитись в службу UzCert и получили заключение , что от ддос атак программным путем нельзя защититься. Необходима аппаратная защита, а она стоит немалых денег.

Конечно :) на "аппаратной" антифлудной циске нет операционной системы, нет никаких программ, она работает исключительно на шестеренках.

При вашей посещаемости и объемах атаки должен работать mod_evasive, плюс можно дописать лапками что-то, что будет в iptables дописывать некошерных посетителей. Сайт, конечно, будет работать тяжковато, но не встанет.

Конечно :) на "аппаратной" антифлудной циске нет операционной системы, нет никаких программ, она работает исключительно на шестеренках.



товарищи из узсерта имели в виду, что надо ставить отд. железку,
а не боротся с дидосом на сервере.
хотя если поставить отд. железку это тоже на 100% не спасет от дидоса.
боротся с ним надо комплексными методами.

а не боротся с дидосом на сервере.

Интересно что такого умеет железка, что не возможно настроить на сервере?

а не боротся с дидосом на сервере.

Интересно что такого умеет железка, что не возможно настроить на сервере?

как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.

а не боротся с дидосом на сервере.

Интересно что такого умеет железка, что не возможно настроить на сервере?
Она умеет стоить много бабла, как ваши Цисковские модемы модемы у абонентов ;-)

Не подумайте что плохого, я люблю Сиську :)

[quote=alisherk;165471]
а не боротся с дидосом на сервере.
как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.
Боюсь что вы не совсем осведомлены о возможностях Линукса. :worship8nz:

как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.
Боюсь что вы не совсем осведомлены о возможностях Линукса. :worship8nz:[/quote]

о возможностях линукса я осведомлен.
только не очень понятно, при чем здесь его возможности?
по порядку - есть веб-сервер, на котором крутится апач, php, почтовик и возможно база данных. этот сервер атакует ботнет из 30-40к хостов. тип атаки tcp syn flooding.
и не важно кто будет защищать сервер от ddos - snort+iptables или мод-ивасив - у сервера очень быстро исчерпаются ресурсы. и а лучшем случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.

случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.

Что если вместо циски установить на ее место промежуточным звеном отдельный дешевый ПК, заточенный под те же задачи? Не будет лучше?

тип атаки tcp syn flooding.
От данного вида атак в Linux стеке TCP-IP предусмотрена специальная защита syncookies. Читать тут (http://www.opennet.ru/opennews/art.shtml?num=2866). Могу заверить ресурсов для отражения атаки много не понадобится.

случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.

Что если вместо циски установить на ее место промежуточным звеном отдельный дешевый ПК, заточенный под те же задачи? Не будет лучше?

точить много придется ))
а если серьезно, то участь веб-сервера конечно облегчится.

но много зависит от сетевых карт ПК и настроек софта.

точить много придется ))

Из танка будем вытачивать истребитель? тогда да долго и много точить придётся, и есть вероятность что одного напильника не хватит. :)

тип атаки tcp syn flooding.
От данного вида атак в Linux стеке TCP-IP предусмотрена специальная защита syncookies. Читать тут (http://www.opennet.ru/opennews/art.shtml?num=2866). Могу заверить ресурсов для отражения атаки много не понадобится.
syncookies была разработана давно и не имеет поддержки некоторых новых опций tcp. например ограниченная поддержка mss, что в свою очередь приводит к проблемам со скоростью при работе широкополосных абонентов.

While these restrictions necessarily lead to a sub-optimal experience, their effect is rarely noticed by clients. Furthermore, these restrictions need only apply when the server is under attack, and the connection would have otherwise been denied. In such a situation, the loss of a few of the more esoteric options in order to save the connection is usually a reasonable compromise.

И что это за новые опции появившиеся в TCP стеке с времени появления syncocies?

While these restrictions necessarily lead to a sub-optimal experience, their effect is rarely noticed by clients. Furthermore, these restrictions need only apply when the server is under attack, and the connection would have otherwise been denied. In such a situation, the loss of a few of the more esoteric options in order to save the connection is usually a reasonable compromise.

И что это за новые опции появившиеся в TCP стеке с времени появления syncocies?

в вики не всегда указаны правильные или полные данные :biggrin:
новые опции - Selective Acknowledgment, Window Scaling.

по поводу новых опций, я наверное выразился неправильно, опции старые. но syncookies написан без их учета.

вообщем резюме - sysncookies действительно способны облегчить ситуацию. но это не панацея, тут нужен комплексный подход. и рекомендованная практика - задачи по ids/ips возлагать на спец оборудование со спец ПО.

возлагать на спец оборудование со спец ПО.
Если есть килобаксы. А если их нету? Потому надо изходить из того что можно сделать в данной конкретной ситуации.

для тех у кого нет килобаксов есть другие способы ddos, чтобы заставить их все таки купить железки :biggrin:

:shok: a cho teper nash dobriy dyadinko ne budet <<rukovodit>> WCG

Jal JAl Jal a ya tak hotel stat sudyoy po kiber chempom :dash2: :cray: