Реализация защиты от ddos. How it works?

1

1

Если я правильно понимаю, то сервисы навроде cloudflare.com выступают в качестве прокси для защищаемого сайта. Чтобы оно работало, нужно для сайта прописать A-запись и NS-запись, указывающую на их сервера.
После этого по домену невозможно выяснить реальный ip сайта.
Вышесказанное верно? Защита от ddos основана только на сокрытии реального ip путем его замены на ip anti-ddos сервиса?
P.S. Продвинутые файрволы, IPS/IDS, это все само собой. Вопрос именно про сокрытие ip защищаемого сайта.

Ссылка

←	Литература по написанию модулей/модификации selinux, apparmor на русском.

Подскажите, актуальны ли сейчас уязвимости XSS/XSLT, насколько актуальны?

→

таки да. еще стоит позаботиться о сокрытии реального IP через другие источники, как то вывод phpinfo, заголовки в отправленных письмах и т.д.

Bers666 ★★★★★
(20.04.13 14:03:35 MSK)

Ссылка

После этого по домену невозможно выяснить реальный ip сайта.

При желании можно.

Для Cloudflare, если юзверь не изменяет настройки по умолчанию, реальный IP сайта можно вычислить, запросив запсь A для direct.sitename.com

Например,

$ dig -t A inkfx.com.au

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.5 <<>> -t A inkfx.com.au
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6623
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4

;; QUESTION SECTION:
;inkfx.com.au.                  IN      A

;; ANSWER SECTION:
inkfx.com.au.           300     IN      A       108.162.206.204
inkfx.com.au.           300     IN      A       108.162.205.204

;; AUTHORITY SECTION:
inkfx.com.au.           14394   IN      NS      kate.ns.cloudflare.com.
inkfx.com.au.           14394   IN      NS      brad.ns.cloudflare.com.

;; ADDITIONAL SECTION:
brad.ns.cloudflare.com. 86394   IN      A       173.245.59.105
brad.ns.cloudflare.com. 86394   IN      AAAA    2400:cb00:2049:1::adf5:3b69
kate.ns.cloudflare.com. 86394   IN      A       173.245.58.124
kate.ns.cloudflare.com. 86394   IN      AAAA    2400:cb00:2049:1::adf5:3a7c

$ dig +short -t A direct.inkfx.com.au
50.22.47.168

sjinks ★★★
(23.04.13 02:25:57 MSK)

Защита от ddos основана только на сокрытии реального ip

Нет. Ширина канала играет далеко не последнюю роль.

sjinks ★★★
(23.04.13 02:27:02 MSK)

Ссылка

Плюс различный софт для выявления паттернов атаки и автоматической блокировки атакующих.

blind_oracle ★★★★★
(23.04.13 07:42:35 MSK)

Ответ на: комментарий от sjinks 23.04.13 02:25:57 MSK

В таком случае мне непонятно, зачем оно нужно, если можно положить сайт, направив ботнет на direct.example.com

~~getup~~ ★
(23.04.13 08:23:42 MSK) автор топика

Ответ на: комментарий от blind_oracle 23.04.13 07:42:35 MSK

Плюс различный софт для выявления паттернов атаки и >автоматической блокировки атакующих.

Блокировка енто хорошо, но ведь канал то все равно ложиться будет. Тут надо думать. где блокировку(блокирующий сервис) размещать.

ChAnton ★★
(23.04.13 13:15:25 MSK)

Ссылка

Ответ на: комментарий от getup 23.04.13 08:23:42 MSK

Ну во-первых, CloudFlare можно использовать не как anti-DDoS, а как CDN. А во-вторых, никто не мешвет вместо direct использовать что-то своё.

sjinks ★★★
(23.04.13 17:55:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Литература по написанию модулей/модификации selinux, apparmor на русском.

Security

Подскажите, актуальны ли сейчас уязвимости XSS/XSLT, насколько актуальны?

→

Похожие темы