Кто чем пользуется вместо CloudFlare?

Попадалось в обсуждениях https://cdnnow.ru/

Главное, чтобы он не в клауде был, а ставился на собственный сервер и не надо было сливать сертификат непонятно кому.

Вся суть CF в их многочисленных и жирных CDN, за которыми прячется твой относительно небольшой origin.

Мне кажется, это не совсем про то. Может быть они конечно и делают защиту от DDoS, но на главной написано только про «CDN» и «ускорение загрузки» (whatever the hell that is). Вообще первое, что нужно делать для ускорения загрузки – не пихать Реакт в сайты. И вообще не пихать что либо, что пытается сделать двести пятьдесят запросов и перерендерить страницу 20 раз подряд, прежде чем пользователь что-то увидит. Но это уже оффтоп…

К сожалению, даже если там и есть какая-то защита от DDoS, то это явно клауд-сервис. Я как раз искал неклауд, по описанным выше причинам.

Нет, как раз нет. CDN, на мой скромный взгляд, абсолютно надуманное решение для 90% сайтов. Особенно, если мы говорим про рунет. Максимум, тут нужно второй сервер на дальний восток поставить, чтоб кому-то было поближе. Да и то, нужно еще подумать над тем, насколько пользователям будет не пофиг (скорее всего пофиг).

Мне кажется вы не сталкивались с ддосом просто. CDN проблему ddos-атак не решают вообще никак, когда атака на application-layer.

https://rigorousthemes.com/blog/best-cloudflare-alternatives/

CDN проблему ddos-атак не решают вообще никак

Зато WAF решает. Вместе с жирным каналом.

Уточню еще: суть CloudFlare вообще не в CDN (они просто его предоставляют, это один из сервисов), а в том, что они способны анализировать входящий трафик и применять дефолтные и кастомные (созданные владельцем ресурса) фильтры и правила, чтобы эффективно дропать пакеты и банить айпи. Это первая часть. Вторая важная часть заключается в том, что (также благодаря анализу трафика), они могут пресекать попытки эксплойтов (SQL-injections, XSS, и т.д). Все это хотелось бы иметь не в клауде, а у себя на сервере в качестве, пускай и платного, но локально работающего софта.

Посмотрел все альтернативы по ссылке – если я не ошибаюсь, каждая из 15 альтернатив – это клауд.

Если нужен именно WAF - https://www.openappsec.io/ (самый адекватный опенсорс, на мой взгляд) или https://coraza.io/ (ей не пользовался, но nginx modsecurity объявили EoL, а бывшая команда разработки перешла в коразу, так что может смысл имеет).

Если нужно решение посерьезнее - я бы смотрел в сторону bigip, хоть железку покупать с лицензией на waf, хоть ve-версию, оба варианта хороши. Правда, как их в текущих реалиях купить - это другой вопрос.

Клаудфлер, конечно, это …

Напомнило, как недавно на HN обсуждали статью «Cloudflare took down our website after trying to force us to pay 120k$ within 24h» (26.05.2024).

Ну, они платили совсем ничего, а потом получилось вот так. Альтернативой стали Fastly.

Все верно. Я же говорю, они смотрят, сколько содрать можно. В случае проектов, где я работал – это просто они их оценили так, на $10k. А могли бы и на все $120.

Я удивлен, кстати, что эту статью не забанили на HN. Недавно был другой пост (там правда он был без линка, из серии AskHN), где автор сделал неплохой обзор истории CloudFlare – начиная с того, что проект сначала назывался как-то там бла-бла-honeypot и потом его переимновали и в него вложились близкие к ЦРУ структуры. Пост был помечен как flagged как только он начал набирать апвоуты (после чего он все равно их продолжил набирать довольно активно, но на главную выйти уже шансов не имел).

А, вот я посмотрел – они там требовали $120 в год, т.е. $10 в месяц, но требовали сразу за год заплатить. Ну вот, та же история была.

Зато WAF решает

Тебя от дудоса спасет? Да ничего от флуда пакетами не спасет. Чтобы узнать от кого пакет пришел, тот нужно распарсить, а чтобы распарсить нужно прочитать полностью, те забьют тебе канал и все.

Клауд просто собирает телеметрию одну из наиболее точных и продает ее. Ему не всралось кого-то от чего-то защищать. Я не удивлюсь что это часть глобальной слежки со стороны правительства сшп

Я не удивлюсь что это часть глобальной слежки со стороны правительства сшп

А это даже вопрос не стоит – оно так и есть.

Локальное решение возможно, но нужен будет очень жирный канал, который будет простаивать всё время, пока нет ddos. И выйдет это дороже, чем CF.

И выйдет это дороже, чем CF.

Я вот подумал: а что если забить на аптайм 100%? По ощущениям, реально 100% аптайм нужен не так уж прямо всем бизнесам. Можно же и пересидеть ддос? Пусть они ддосят, тратят ресурсы и, потенциально, теряют часть своего ботнета, потому что владельцы холодильников заметят, что холодильник начинает слишком активно пыхтеть. Так один раз по ддосят, два раза, а потом забьют, потому что не окупается.

обзор истории CloudFlare – начиная с того, что проект сначала назывался как-то там бла-бла-honeypot и потом его переимновали и в него вложились близкие к ЦРУ структуры

Вот это?
https://www.bbc.com/news/business-37348016

Это троллинг тупостью что ли?

Клаудфлар конечно плохой, но концентрация безграмотности в твоём стартовом посте запредельная.

Ссылка не работает.

С удовольствием узнаю, в чем моя безграмотность. Надо же профессионально расти. Расскажите.

Чтобы узнать от кого пакет пришел, тот нужно распарсить, а чтобы распарсить нужно прочитать полностью

А чем по твоему WAF занимается?

waf - это web application firewall, он лишь http-запросы фильтрует, а не tcp/udp пакеты

я тебе намекаю, что хттп-запрос состоит из более чем одного пакета… короче это уже уровень выше чем tcp/ip и тп. и эти фильтры обходятся ибо примитивны. + ничто не мешает в истории dns либо заголовках письма о регистрации посмотреть реальный айпи сервера, и уже долбить напрямую

ничто не мешает в истории dns либо заголовках письма о регистрации посмотреть реальный айпи сервера

Ну это такое. Это если забыли убрать инфу из хэдеров и забыли поменять айпи.

Какие ещё tcp/udp пакеты? Твой сервер за семью прокси прокси CF. И ВЕСЬ трафик падает на CF. Капец вообще.

Ну смени его, это бесплатно зачастую. И не показывай миру.

Все это хотелось бы иметь не в клауде, а у себя на сервере в качестве, пускай и платного, но локально работающего софта

Ну если банить IP, то можно начать с fail2ban. Он анализирует логи и банит по заданным правилам. Там ЕМНИП есть из каробки правила для бана дудосеров и эксплойтеров по http разных популярных CMS/фреймворков. Можно свои правила добавлять.

Проблема в том, что если делать это на сервере, то даже на обработку этих списков забана в iptables нужны ресурсы. Т.е. всё равно могут шапками закидать.

Ддос разный бывает.

Самый тупой вариант это тупо валить на твой IP очень много трафика.

Защита от такого варианта может быть только на уровне провайдера. Во-первых у тебя должен быть крупный провайдер с большими каналами, которого дудосер не завалит. Во-вторых он должен иметь желание сотрудничать с тобой и вместо того, чтобы зароутить твой сервер на ноль, решив проблему для себя, роутить тех, кто шлёт трафик на ноль (а для этого нужно работать).

Т.е. тебе нужен крупный хостер, для которого ты одновременно достаточно важный клиент, чтобы с тобой был смысл работать, а не просто отключить.

То, что ты описываешь - когда каналы не перегружены, а перегружено твоё приложение - это уже решается сначала банальным фаерволом, тупо банишь айпишники, откуда идёт трафик, возможно прямо по странам. А потом переписываешь своё приложение, чтобы оно под дудосом жило. Это на самом деле интересная инженерная задача и даёт разные преимущества (к примеру твоё приложение перестаёт ложиться под обычной нагрузкой), хотя бизнесмены это не любят.

Может быть кто-то знает, есть ли какой-то альтернативный софт?

Софт обойдется по всем расходам дороже, чем заказ со стороны услуги по защите от dos.

Есть идея попробовать пойти в сторону безсерверных решений, типа kubernets + application balancer. По достижению определенного порога загрузки CPU нагрузки поднимать дополнительные ноды. При большой нагрузке это может быть очень дорого.

Еще можно заняться оптимизацией и на уровне приложения что-то кешировать, если запросы приходят одинаковые.

CDN проблему ddos-атак не решают вообще никак, когда атака на application-layer.

ты чот совсем не в теме, похоже. CDN - это про распределение линков и кэшей.

Именно. И говоря «жирный канал» ты, на самом деле, говоришь «МНОГО жирных каналов». Потому один сраный гигабит укладывается на счёт «раз».

Есть такое. Чел не в теме.

На Хабре перевод читал. Или плагиат, но там была похожая сумма и тоже казино.

ты чот совсем не в теме, похоже. CDN - это про распределение линков и кэшей.

Вы лично занимались решением проблемы DDoS-а? Или просто где-то в модном блоге прочитали про CDN-ы? Какие кэши, если ддосят на application-layer, а ваши ассеты даром никому не сдались.

Точно, перевод: Cloudflare положил наш сайт после того, как мы отказались выплатить 120 000 $ в течение 24 часов (31.05.2024).

Я пользуюсь локалхостом.

Я ддосы и переживал и противодействовал. А сейчас у меня один из крупнейших сайтов рунета и этим занимаются другие. А твой сраный апликашен лэер решается фейлтубаном и настройками на фронте.

Заголовок громкий, но там в первом же комментарии расписана ситуация с более нейтральной точки зрения

Главное, чтобы он не в клауде был, а ставился на собственный сервер

А как ты DDOS отражать будешь? Вся суть в том что у клаудфлары жирный-жирный канал и мощные сервера, которые тянут очень жирные DDOS атаки.

Можно же и пересидеть ддос?

гениальное решение, такие как ты сэкономят хакеру мощности ботнета, достаточно всего лишь раз в 10 минут пинговать твой сервер и если он онлайн быстренько его дудосом класть чтоб ты его выключил, а пока ты пережидаешь можно дудосить кого-то ещё.

А зачем его выключать?

Челик собирается пережидать дудос выключая комп, видимо чтоб не грелся слишком сильно, мол хакеру надоест выключенный комп дудосить и он уйдёт отдыхать. Это как тот челик что в доте на миду сфидит пару раз а потом свои шмотки сломает и встанет в амулете.

https://qrator.ru/

Он не написал, что хочет его выключать, просто ничего не делать во время него. Т.е. cpu/net будет забит на 100% – ну и ладно. Конечно, в некоторых планах это сожрет весь трафик, но это все равно будет дешевле.

ну т.е. цель дудосера успешно получена (ему платят за то чтоб сайт был оффлайн определённое время, например неделю), я и говорю что он бизнесу нужен как фидящий сф, разбивший шмотки тиме по доте2

Ну допустим. Но если у бизнеса нет внезапных 120к$, которые просят за защиту. Выбор тогда между несколькими днями даунтайма (что с СДЭКом случилось, пока он неделю не работал?) и вылетом в трубу.

Ну значит кто-то (конкуренты и/или недовольные) заплатил 120к долларов, чтоб СДЭК неделю не работал, хотя я не видел ни одного сообщения про то что ДУДОС виноват в том что они не работали неделю. Там писали про внутренние проблемы (может у них вообще серверная сгорела, я не знаю и гадать не буду)

Историю со СДЭКом я упомянул не в контексте ДДОС, а в контексте даунтайма.

По ощущениям, реально 100% аптайм нужен не так уж прямо всем бизнесам. Можно же и пересидеть ддос?

Конечно можно, отрубаете всё ваше инет зависимое и ждёте звонка от босса которому будете рассказывать насколько оно ему ненужно. Эксперимент можете начать ставить прямо сейчас, не дожидаясь ddos.

Можно же и пересидеть ддос?

По вашему ddos это что-то типа дождика? Само пройдёт?