Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Операторы & провайдеры > UZTELECOM > UZONLINE
Регистрация
Знаете ли Вы, что ...
...инструкция по установке аватара описана в Правилах форума.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZONLINE Официальный сайт - uzonline.uz


Закрыто

 
Опции темы Опции просмотра
Старый 25.12.2008 20:00   #11  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Nestik Посмотреть сообщение
Цитата:
Сообщение от alisherk Посмотреть сообщение
а не боротся с дидосом на сервере.
Интересно что такого умеет железка, что не возможно настроить на сервере?
как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.
Старый 26.12.2008 00:39   #12  
Known ID Group uParty Member
Аватар для ustas
Оффлайн
Сообщений: 2,260
+ 841  1,127/585
– 35  11/10

Russian Federation
Цитата:
Сообщение от Nestik Посмотреть сообщение
Цитата:
Сообщение от alisherk Посмотреть сообщение
а не боротся с дидосом на сервере.
Интересно что такого умеет железка, что не возможно настроить на сервере?
Она умеет стоить много бабла, как ваши Цисковские модемы модемы у абонентов ;-)

Не подумайте что плохого, я люблю Сиську

[QUOTE=alisherk;165496]
Цитата:
Сообщение от Nestik Посмотреть сообщение
Цитата:
Сообщение от alisherk Посмотреть сообщение
а не боротся с дидосом на сервере.
как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.
Боюсь что вы не совсем осведомлены о возможностях Линукса.
__________________
время одно на всех, но каждый верит только своим часам.
Старый 26.12.2008 09:06   #13  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от alisherk Посмотреть сообщение
как минимум, железка будет отражать атаки и не загружать процессор сервера лишними процессами.
Боюсь что вы не совсем осведомлены о возможностях Линукса. [/quote]

о возможностях линукса я осведомлен.
только не очень понятно, при чем здесь его возможности?
по порядку - есть веб-сервер, на котором крутится апач, php, почтовик и возможно база данных. этот сервер атакует ботнет из 30-40к хостов. тип атаки tcp syn flooding.
и не важно кто будет защищать сервер от ddos - snort+iptables или мод-ивасив - у сервера очень быстро исчерпаются ресурсы. и а лучшем случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.
Старый 26.12.2008 09:28   #14  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,917
+ 3,666  10,928/4,675
– 584  286/214

Uzbekistan
Цитата:
Сообщение от alisherk Посмотреть сообщение
случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.
Что если вместо циски установить на ее место промежуточным звеном отдельный дешевый ПК, заточенный под те же задачи? Не будет лучше?
Реклама и уведомления
Старый 26.12.2008 10:10   #15  
Аватар для Nestik
Оффлайн
ZOG
eminence grise
Сообщений: 2,258
+ 277  835/480
– 353  232/151

UzbekistanОтправить сообщение для Nestik с помощью ICQ
Цитата:
Сообщение от alisherk Посмотреть сообщение
тип атаки tcp syn flooding.
От данного вида атак в Linux стеке TCP-IP предусмотрена специальная защита syncookies. Читать тут. Могу заверить ресурсов для отражения атаки много не понадобится.
Старый 26.12.2008 10:11   #16  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Jahongir Haitov Посмотреть сообщение
Цитата:
Сообщение от alisherk Посмотреть сообщение
случае сервер на запросы норм хостов будет тормозить, а в худшем перестанет отвечать вообще.
Что если вместо циски установить на ее место промежуточным звеном отдельный дешевый ПК, заточенный под те же задачи? Не будет лучше?
точить много придется ))
а если серьезно, то участь веб-сервера конечно облегчится.

но много зависит от сетевых карт ПК и настроек софта.
Старый 26.12.2008 10:21   #17  
Аватар для Nestik
Оффлайн
ZOG
eminence grise
Сообщений: 2,258
+ 277  835/480
– 353  232/151

UzbekistanОтправить сообщение для Nestik с помощью ICQ
Оффтоп:


Цитата:
точить много придется ))
Из танка будем вытачивать истребитель? тогда да долго и много точить придётся, и есть вероятность что одного напильника не хватит.


Последний раз редактировалось Nestik; 26.12.2008 в 10:24.
Старый 26.12.2008 11:33   #18  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Nestik Посмотреть сообщение
Цитата:
Сообщение от alisherk Посмотреть сообщение
тип атаки tcp syn flooding.
От данного вида атак в Linux стеке TCP-IP предусмотрена специальная защита syncookies. Читать тут. Могу заверить ресурсов для отражения атаки много не понадобится.
syncookies была разработана давно и не имеет поддержки некоторых новых опций tcp. например ограниченная поддержка mss, что в свою очередь приводит к проблемам со скоростью при работе широкополосных абонентов.
Старый 26.12.2008 12:24   #19  
Аватар для Nestik
Оффлайн
ZOG
eminence grise
Сообщений: 2,258
+ 277  835/480
– 353  232/151

UzbekistanОтправить сообщение для Nestik с помощью ICQ
Цитата:
While these restrictions necessarily lead to a sub-optimal experience, their effect is rarely noticed by clients. Furthermore, these restrictions need only apply when the server is under attack, and the connection would have otherwise been denied. In such a situation, the loss of a few of the more esoteric options in order to save the connection is usually a reasonable compromise.
И что это за новые опции появившиеся в TCP стеке с времени появления syncocies?

Последний раз редактировалось Nestik; 26.12.2008 в 12:27.
Старый 26.12.2008 12:54   #20  
Known ID Group
Аватар для alisherk
Оффлайн
вольный каменщик
Сообщений: 2,314
+ 1,920  1,874/796
– 3  186/134

Aruba
Цитата:
Сообщение от Nestik Посмотреть сообщение
Цитата:
While these restrictions necessarily lead to a sub-optimal experience, their effect is rarely noticed by clients. Furthermore, these restrictions need only apply when the server is under attack, and the connection would have otherwise been denied. In such a situation, the loss of a few of the more esoteric options in order to save the connection is usually a reasonable compromise.
И что это за новые опции появившиеся в TCP стеке с времени появления syncocies?
в вики не всегда указаны правильные или полные данные
новые опции - Selective Acknowledgment, Window Scaling.

по поводу новых опций, я наверное выразился неправильно, опции старые. но syncookies написан без их учета.

вообщем резюме - sysncookies действительно способны облегчить ситуацию. но это не панацея, тут нужен комплексный подход. и рекомендованная практика - задачи по ids/ips возлагать на спец оборудование со спец ПО.
Закрыто
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх