Что есть против DDoS?

0

2

Пусть есть ботнет в 5-10 тысяч машин. И есть сайт на Rails (плюс thin-кластер и nginx во фронтенде). Такая схема хорошо держит до 80 запросов в секунду.

Что можно сделать против атаки?

Пока режу число подключений в секунду с одного ip. Но боюсь что при таком ботнете этого не хватит.

Что почитать? Сколько вообще должна держать такая система? Есть ли смысл разносить всё на несколько машин (пока всё в cpu упирается)? На сколько машин?

Ссылка

←	Scalability framework

Ошибки PHP в debian

→

мануалов по настройке сервера при ддосе в гугле тысячи, если не поможет, то стоит узнать у хостера может ли он чего-то сделать на уровне оборудования.

xpahos ★★★★★
(09.12.11 13:15:48 MSK)

Ответ на: комментарий от xpahos 09.12.11 13:15:48 MSK

Мануалы прочёл. Мне не ясно как рассчитывать нагрузку и во сколько эти 5000 машин обойдутся конкурентам.

~~daris~~ ☆
(09.12.11 13:20:03 MSK) автор топика

Ссылка

есть чуваки, через которых можно за деньги пропускать трафик, хитро фильтруя

Bers ★
(09.12.11 14:28:38 MSK)

Ответ на: комментарий от Bers 09.12.11 14:28:38 MSK

А можно поподробнее?

~~daris~~ ☆
(09.12.11 14:32:29 MSK) автор топика

Ответ на: комментарий от daris 09.12.11 14:32:29 MSK

Загугли, есть такие специализированные компании, давненько приходилось пользоваться услугой одной из таких, сейчас не вспомню какой именно. Это относительно дорого и цена, наверное, зависит от трафика, тогда обошлось вроде около $2000-3000 за месяц, если мне не изменяет память.

Bers ★
(09.12.11 14:38:01 MSK)

Ответ на: комментарий от Bers 09.12.11 14:38:01 MSK

Мде. Дешевле будет серверов докупить. Но всё равно спасибо, попробую пройтись по логам на предмет айпишников.

~~daris~~ ☆
(09.12.11 14:41:10 MSK) автор топика

Ссылка

Что есть против DDoS?

Ничего нет.

Пока режу число подключений в секунду с одного ip

А это и есть успешная атака. Отказ в обслуживании нужного пользователю числа подключений.

Сколько вообще должна держать такая система

Должна держать неограниченное число запросов.

anonymous
(09.12.11 15:28:21 MSK)

Ответ на: комментарий от anonymous 09.12.11 15:28:21 MSK

Пока режу число подключений в секунду с одного ip

А это и есть успешная атака. Отказ в обслуживании нужного пользователю числа подключений.

Я режу слишком частые подключения для всех. Но мне, как юзеру, такое ограничение не мешает.

~~daris~~ ☆
(09.12.11 15:41:37 MSK) автор топика

Ссылка

держит до 80 запросов в секунду

nginx->varnish->nginx->php-fpm: http://rghost.ru/33918661.view
LA дайбог до 0.5 доползает.

iSage ★★★★
(09.12.11 16:30:21 MSK)

Ответ на: комментарий от iSage 09.12.11 16:30:21 MSK

Неверно выразился, похоже. Если натравить siege, нормально отдаёт страницы при нагрузке до 900 одновременных подключений. 80 же - это среднее число обработанных за секунду подключений.

~~daris~~ ☆
(09.12.11 16:40:35 MSK) автор топика

Ответ на: комментарий от iSage 09.12.11 16:30:21 MSK

php-fpm

а ничо что сайт на рельсах?

redixin ★★★★
(09.12.11 16:43:38 MSK)

Ответ на: комментарий от redixin 09.12.11 16:43:38 MSK

Да хоть на вижуалбейсике.

iSage ★★★★
(09.12.11 16:45:57 MSK)

Ссылка

Ответ на: комментарий от daris 09.12.11 16:40:35 MSK

Вообще, тестить siege и ab - некомильфо, лучше jmeter'ом. тут еще вопрос в том, за сколько он при такой нагрузке отдает страницы.

Если таки упирается в бэкэнд - реж, кешируй, разделяй, ставь балансировщики. Если в сетевой стек и канал - тады ой, магистральное оборудование в помощь.

iSage ★★★★
(09.12.11 16:50:40 MSK)

Ответ на: комментарий от iSage 09.12.11 16:50:40 MSK

Всё упирается в проц. ВДС с более чем двумя ядрами - это дорого, дешевле выйдет несколько машин купить %)

~~daris~~ ☆
(09.12.11 17:13:26 MSK) автор топика

Ответ на: комментарий от daris 09.12.11 17:13:26 MSK

Ну так в проц то по разным причинам может упираться. Из-за бекэнда, из-за базы, из-за обработки тучи сетевых пакетов.

iSage ★★★★
(09.12.11 17:21:35 MSK)

Ответ на: комментарий от iSage 09.12.11 17:21:35 MSK

тучи сетевых пакетов.

фейспалм

redixin ★★★★
(09.12.11 17:29:45 MSK)

тут правильно подсказывают про кеширование

redixin ★★★★
(09.12.11 17:30:31 MSK)

Ссылка

Ответ на: комментарий от redixin 09.12.11 17:29:45 MSK

Смотри личико не отбей.

iSage ★★★★
(09.12.11 17:32:21 MSK)

Ссылка

Против атак такого рода обычно делают следующее. Если входной канал справляется то разрабатывается алгоритм который отделяет мух от котлет. Критериев множество: geoip, request rate, cookies, итд итп. После этого хосты банишь через ipset какой-нить. Можно сразу банить, например, Китай :).

Только вот если речь идёт о VDS то ой. А вот если выделенный сервак то у нас тачка (по современным меркам не фонтан, всего 2 проца старого поколения по 4 ядра) справлялась с почти гигабитным флудом. Увы, не помню сколько было packets per seconds.

true_admin ★★★★★
(11.12.11 16:12:20 MSK)

Ответ на: комментарий от true_admin 11.12.11 16:12:20 MSK

Спасибо, ясно откуда начинать.

~~daris~~ ☆
(11.12.11 16:42:39 MSK) автор топика

Ответ на: комментарий от daris 11.12.11 16:42:39 MSK

Ну и кеширование тоже нужно. А точнее комплекс мер направленный на увеличение производительности сайта. Так же на время атак мы отключали некоторые особо жрущие части сайта. А ещё было такое что злоумышленники специально посылали сложные запросы которые выжирали проц (поиск там, ещё всякая фигня).

true_admin ★★★★★
(11.12.11 17:20:31 MSK)