ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: соотношение балан сировщиков/веб-серверо в (оффтоп, но...)



big bond wrote:
29 октября 2009 г. 20:21 пользователь Andrew Kopeyko <kaa@xxxxxxxx> написал:
big bond wrote:
29 октября 2009 г. 10:17 пользователь Andrew Kopeyko <kaa@xxxxxxxx>
написал:
On Thu, 29 Oct 2009, big bond wrote:

А вообще массированые атаки - это не так забота веб-сервера или
балансировщика, как оборудования на уровне провайдера для борьбы с
атаками.
У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
anomaly detector + cisco guard), ту атаку на апачи эта система не в
состоянии определить, т.к. работает на сетевом уровне и с ее точки
зрения 2-3 запроса в минуту - легитимны
На прошебшем HighLoad++ был отличный доклад Александра Лямина, где он
популярно объяснял что "запрос запросу рознь" - 2-3 запроса\мин к поиску
по
вашему сайту, да ещё с аргументами типа "а покажите мне последнюю
страницу
результатов" наверняка поставят вас сайт колом.

А с точки зрения cisco guard - эти запросы почти такие же как и к
статической картинке.
Вот и я о том же. Это все к тому, что фразы наподобие "борьба с
атаками - дело спец. оборудования на стороне провайдера" не имеют под
собой основания.
Это тоже неправильное мнение - просто они предназначены для несколько других
задач (хорошо помогают против массированного DDoS - множество случайных
запросов со множества ip-шников, и очень хорошо - против тупого, но
распределённого по всему миру, долбления на 1-2 URL), потому и спотыкаются
на чуть более "умной" атаке : против конкретных слабостей конкретного сайта.

Судя по вашим теоретизированным рассуждениям - вы не совсем верно
представляете задачи, решаемые устройствами класса CiscoDDoS. Такие
устройства предназначены защищать от сетевых атак с большим packet
rate (и тут они работают отлично): различные виды tcp, udp-флуда,
спуфинг, атаки на заполнение канала. Если rate атаки невелик (1-2
запроса в минуту с хоста, но хостов - десятки тысяч), то тут CiscoDDoS
будет бессилен.

Так вот почему мы не понимали друг друга - мы же о разных вещах говорили!

Наверное, это меня провайдер избаловал - почти 3 года дому назад закрыв нас свежекупленным ЦискоГардом. Потому я уже и позабыл о проблемах сетевых атак - просто не вижу их. Только атаки на приложения остались - вот о них-то я и рассуждал.

Вы верно, Иван, подметили - в собственных руках я CiscoGuard не держал. Ну, не сложилось - есть у нас для этого специально обученные люди. Но участвовал в настройке защиты хостинга РУ-Центра - так что, некоторое представление о предмете, и не только теоретическое, всё же имею.



--
Best regards,
Andrew A. Kopeyko <kaa@xxxxxxxx>
http://www.zvuki.ru/



 




Copyright © Lexa Software, 1996-2009.