29.04.2009, 13:20 | #1 |
Banned
Регистрация: 11.11.2008
Адрес: Chiang mai, Thailand
Сообщений: 21
Вес репутации: 0
|
нужен ddos устойчивый хостинг
Здравствуйте,
Прошу рекомендации, на сайт клиента 3 раза совершались ddos атака интенсивностью до 6 гбит / сек. Хостинги все реагировали очень медленно, в связи с чем клиент нес потери из-за лежащего или частично недоступного сайта. В связи с чем прошу рекомендации по хостингу с оперативным круглосуточным реагированием и заранее спланироваными мерами защиты, сценариями блокировки срабатывающими в автоматическом и полуавтоматическом режиме, с системой внешнего мониторинга и управления фильтрацией трафика. Нужен в аренду выделенный сервак. Спасибо, Алексей |
29.04.2009, 13:30 | #2 |
Мастер
Регистрация: 08.06.2007
Адрес: Минск
Сообщений: 909
Вес репутации: 244
|
|
29.04.2009, 15:29 | #4 | |
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 361
|
Цитата:
с 6Гбитным каналом? вообще 6Гбит это приличная циферка, решить проблему фильтрации такого объема трафика весьма сложно... если атаки идут вменяемые, т.е. не 6Гбит, а что-то в стиле 100-200Мбитного флуда, то можно предложить примерно такое: 1) размещаться в нормальных ДЦ, где адекватно оценивают атаки и трафик стоит не такие бешенные деньги 2) заказать в ДЦ персональный (хотябы бюджетный D-Link) свич-файрвол на 1Гбит (стоит такая штука порядка +50 баксов месяц) 3) на файре зарезать UDP/ICMP трафик начисто + перенастроить под оптимальную борьбу со SYN-флудом 4) ДНС доменов держать прямо на NS'ках регистратора доменов (у них как правило весьма мощный ДНС-кластер под эти цели используется, ддосеры школьнеги такой не уронят при всем своем желании) на самой машинке: CSF + nginx limit_conn + limit_rate + нормальные таймауты на tcp, а также выверенные под ОЗУ машины значения mpm Apache (хотя лучше вообще от него отказаться в пользу nginx + fcgi) ну и непосредственно отслеживать идущие запросы, анализировать общую логику и фильтровать это дело уже на уровне правил nginx, не допуская до Apache |
|
29.04.2009, 16:09 | #5 | ||
Специалист
Регистрация: 08.08.2008
Сообщений: 422
Вес репутации: 211
|
Цитата:
Помнится валуехост попал под подобную атаку, три для все сайты лежали... толку от файрволов? если канал на почти ~100% забивается всякой фигней. Цитата:
поскольку этот протокол не требует подтверждения прихода пакета, вполне реально флудить 10гбит траффика на сервер с 10мбитной сетевухой... Реального траффика на дата центр "придет" как на 10гбит. |
||
29.04.2009, 16:59 | #6 | ||
Эксперт
Регистрация: 18.06.2007
Адрес: Картофель
Сообщений: 2,417
Вес репутации: 361
|
Цитата:
Цитата:
как правильно сами заметили - типичный ДЦ - это 10Гбит, следовательно при 6Гбитах проблемы уже у всего ДЦ, так что уже поздно решать что-то на уровне сервера а вообще - нет ничего нереального - приведу простой пример: 1) цена ВПСки = $30 (минимальная конфа + анлимит трафик) 2) покупается 20 ВПСок, это уже: - 20х100Мбит = 2Гбит (UDP флуд до 2Гбит выдержит) - затраты 20х30 = $600/месяц 3) на ВПСках делаются все нужные настройки + на ней размещен только собственно фронт-софт (к примеру nginx) 4) бэкэнд сервер разумеется мощная конфа + между ВПСками и бэкэндом подняты VPN тунели + все просто через proxy_pass на бэкэнд (прим. к nginx) ну и разумеется ВПСки разнесены географически + в ДНС зоне домена прописаны A записи всех ВПСок... схема достаточно устойчива к UDP-флуду + позволяет наращивать "кластер" по мере надобности, за ВПСками разумеется централизованный мониторинг + общий блэклист файрвола (корый тоже централизовано обновляется)... при атаке на хост - боты рассеиваются по всему спектру ip-адресов всего кластера, ... при атаке на конкретный айпи (ну в случае если атакующие чайники), по сути дела выходит из строя одна из ВПСок (т.е. один фронт-сервер),... |
||
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Ребята, хостинг кому то нужен? | pavellift | Деловое сотрудничество | 16 | 28.08.2009 12:00 |
Нужен хостинг, чтобы запихнуть целиком фильмец. | Robingoodd | Хостинг и доменные имена | 4 | 08.01.2009 14:05 |
Нужен хостинг, который... | Antik | Хостинг и доменные имена | 14 | 29.08.2008 22:33 |
Нужен хостинг до 100 МВ. | borodun | Хостинг и доменные имена | 2 | 07.05.2008 15:03 |
Часовой пояс GMT +3, время: 22:06.