29 октября 2009 г. 10:17 пользователь Andrew Kopeyko <kaa@xxxxxxxx> написал:
On Thu, 29 Oct 2009, big bond wrote:
А вообще массированые атаки - это не так забота веб-сервера или
балансировщика, как оборудования на уровне провайдера для борьбы с атаками.
У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
anomaly detector + cisco guard), ту атаку на апачи эта система не в
состоянии определить, т.к. работает на сетевом уровне и с ее точки
зрения 2-3 запроса в минуту - легитимны
На прошебшем HighLoad++ был отличный доклад Александра Лямина, где он
популярно объяснял что "запрос запросу рознь" - 2-3 запроса\мин к поиску по
вашему сайту, да ещё с аргументами типа "а покажите мне последнюю страницу
результатов" наверняка поставят вас сайт колом.
А с точки зрения cisco guard - эти запросы почти такие же как и к
статической картинке.
Вот и я о том же. Это все к тому, что фразы наподобие "борьба с
атаками - дело спец. оборудования на стороне провайдера" не имеют под
собой основания.
Это тоже неправильное мнение - просто они предназначены для несколько
других задач (хорошо помогают против массированного DDoS - множество
случайных запросов со множества ip-шников, и очень хорошо - против
тупого, но распределённого по всему миру, долбления на 1-2 URL), потому
и спотыкаются на чуть более "умной" атаке : против конкретных слабостей
конкретного сайта.
Борьба с атаками должна происходить на всех возможных
уровнях. На сетевом уровне CiscoGuard хорошо спасает, для защиты на
уровне приложения сейчас тестируем всяческие inline-IPS-ы и WAF'ы, на
уровне бекенда тоже нужно что-то думать.