Число коннектов режется на statefull файрволе.
Банить ботов снаружи не имеет смысла, так как при ботнете в несколько тысяч хостов мы процессом бана снаружи сильно нагрузим роутер (ведь процессор для апи не такой мощный как процессоры на routing engine и forwarding engine), да и сам процесс бана займет уймы времени.
Проще это делать на файрволе самих прокси.
По поводу хостеров:
Большинство хостеров в наше время так демпингуют ценами, что на защиту у них просто не остается средств. А те что посерьезнее, хоть и защищают, но не будут терпеть клиентов на которых атака валится несколько недель (в таких случаях либо просто отказывают, либо ломят цены повыше чем у нас).
Оборудование взято в аренду. Система действительно размещена в датацентре Укртелекома — на текущий момент это провайдер с достаточно широкими аплинками (более 100Gbps) чтобы не быть уязвимым практически перед любой атакой.
Изначально схема разрабатывалась под нескольких крупных клиентов. Сайт был открыть недавно, чтобы начать расширять клиентскую базу.
Мы очень благодарны Вам за грамотные комментарии, вызванные безусловно, Вашим неподдельным интересом к затронутой тематике, видно, что Вы хорошо разбираетесь в сетевых технологиях.
Если Вам интересно, быдем рады пообщаться через ЛС, или по скайпу :)
Это решение не для одного сайта, а для хостинг-компании (либо очень крупного сервиса).
Если надо защищать один сайт, то лучше не самостоятельно строить такие решения, а купить как сервис.
К примеру, у нас на stop-ddos.net защита одного сайта будет стоить от 250 до 1000 $ в месяц.
К тому-же, мы, в отличие от зарубежных компаний-хостеров, очень либерально относимся к контенту наших клиентов.
Решение сделано для хостинг-компании, которая специализируется на защите от DDoS, и одновременно обслуживает многих клиентов. На некоторых клиентов атаки длятся неделями.
Несколько примеров из личного опыта:
Сайт по продаже авиабилетов, атака длилось 2 недели, 8Gbps обычного флуда.
На другие сайты случалось и 500 000 pps SYN-флуда и 100 000 GET запросов в секунду.
На вопрос о мощном сервере:
Один 8-ядерный ксеон 55-ой серии держит, в среднем, 30 000 GET запросов в секунду.
Использование более дорогих сервером нерационально, так как проще делать балансировку на несколько серверов с оптимальным соотношением производительность/цена.
В данном случае защита териториально находится в одном месте.
BGP выбрана по той причине, что когда один из прокси станет недоступным, на него перестанут поступать запросы. BGP в данном случае используется только всередине кластера и может быть построен на серых адресах и серых ASN.
Прокси нельзя поставить просто за файрволами, так как файрвол, в отличии от роутера, обычно не умеет Per Packet Load Balancing, необходимый для балансировки: грубо говоря, на всех серверах стоит один и тот же адрес (как показано на схеме); именно на этот адрес и направлен атакуемый домен, а если не использовать Per Packet, то могут рваться TCP сессии (да и разделение запросов будет неравномерным).
Балансировка нужна только для того, чтоб равномерно распределить запросы между прокси, так как при серьезной атаке даже самый мощный сервер не справится.
Вопрос о отступе первого абзаца мне удалось задать Артемию Лебедеву (в «Народной приемной»), и получить на него ответ.
Мой вопрос:
Здравствуйте, Артемий.
Хочу задать вам один давно мучающий меня вопрос, касающийся типографики.
Из книги Яна Чихольда: «Только в одном месте втяжка бессмысленна и некрасива: под заголовком, поставленным на середину. Первый абзац должен начинаться здесь без отступа. Однако под заголовком, смещенным влево, втяжка необходима».
Harvard University Press, как и ваше издательство не делают втяжку для первого абзаца при любом расположении заголовка.
И действительно, обычно это делает левый край более стройным. Но и авторитет Яна Чихольда тоже неоспорим :)
Если можно, хотелось бы услышать ваш комментарий по этому вопросу.
Ответ Артемия:
Мы считаем, что современный читатель уже достаточно искушен, и в состоянии отличить первую строку после заголовка от других. Поэтому втяжка там совершенно не нужна.
А особенно она там не нужна, если используется буквица.
Человек знает скорость по законам физики — он ее так видит.
И гиперболизировать ее надо путем усиления присущих скорости физических эффектов.
Вот пример, вообще без наклонов:
Я хочу все-го лишь сказать о том что надо думать более глобально и целостно.
И наклоны, перспективу, размытие фона брать такими, какими они есть на самом деле.
А в каждом конкретном случае эти параметры разные.
Банить ботов снаружи не имеет смысла, так как при ботнете в несколько тысяч хостов мы процессом бана снаружи сильно нагрузим роутер (ведь процессор для апи не такой мощный как процессоры на routing engine и forwarding engine), да и сам процесс бана займет уймы времени.
Проще это делать на файрволе самих прокси.
По поводу хостеров:
Большинство хостеров в наше время так демпингуют ценами, что на защиту у них просто не остается средств. А те что посерьезнее, хоть и защищают, но не будут терпеть клиентов на которых атака валится несколько недель (в таких случаях либо просто отказывают, либо ломят цены повыше чем у нас).
Авира и Аваст молчат.
Изначально схема разрабатывалась под нескольких крупных клиентов. Сайт был открыть недавно, чтобы начать расширять клиентскую базу.
Мы очень благодарны Вам за грамотные комментарии, вызванные безусловно, Вашим неподдельным интересом к затронутой тематике, видно, что Вы хорошо разбираетесь в сетевых технологиях.
Если Вам интересно, быдем рады пообщаться через ЛС, или по скайпу :)
Если надо защищать один сайт, то лучше не самостоятельно строить такие решения, а купить как сервис.
К примеру, у нас на stop-ddos.net защита одного сайта будет стоить от 250 до 1000 $ в месяц.
К тому-же, мы, в отличие от зарубежных компаний-хостеров, очень либерально относимся к контенту наших клиентов.
По поводу файрволов:
Заддосить один Juniper SRX 5800 возможно, но не кластер из нескольких такий файрволов.
Однако, на один защищаемый сайт не более 10Gbps.
В случае, если downtime превысит 4 часа в квартал, мы компенсируем затраты, из расчета
1 час downtime = 1 сутки бесплатного сервиса.
Несколько примеров из личного опыта:
Сайт по продаже авиабилетов, атака длилось 2 недели, 8Gbps обычного флуда.
На другие сайты случалось и 500 000 pps SYN-флуда и 100 000 GET запросов в секунду.
На вопрос о мощном сервере:
Один 8-ядерный ксеон 55-ой серии держит, в среднем, 30 000 GET запросов в секунду.
Использование более дорогих сервером нерационально, так как проще делать балансировку на несколько серверов с оптимальным соотношением производительность/цена.
Что Вы имеете ввиду?
Каким образом, если Вы не сможете узнать реальный адреса бекенда?
BGP выбрана по той причине, что когда один из прокси станет недоступным, на него перестанут поступать запросы. BGP в данном случае используется только всередине кластера и может быть построен на серых адресах и серых ASN.
Прокси нельзя поставить просто за файрволами, так как файрвол, в отличии от роутера, обычно не умеет Per Packet Load Balancing, необходимый для балансировки: грубо говоря, на всех серверах стоит один и тот же адрес (как показано на схеме); именно на этот адрес и направлен атакуемый домен, а если не использовать Per Packet, то могут рваться TCP сессии (да и разделение запросов будет неравномерным).
Балансировка нужна только для того, чтоб равномерно распределить запросы между прокси, так как при серьезной атаке даже самый мощный сервер не справится.
Varan, Iguana, Chameleon…
Есть тому какое-то подтверждение (пруфлинк)?
Мой вопрос:
Ответ Артемия:
Очень полезные статьи пишете.
И гиперболизировать ее надо путем усиления присущих скорости физических эффектов.
Вот пример, вообще без наклонов:
Я хочу все-го лишь сказать о том что надо думать более глобально и целостно.
И наклоны, перспективу, размытие фона брать такими, какими они есть на самом деле.
А в каждом конкретном случае эти параметры разные.
И без разницы в какую сторону она едет.
Так как нарисовано было бы правильно в случае с ракетой.