а вы платите за уборку льда? ваш кооператив нанял фирму уборщика? или ждете «работы» от дез-а?
просто зачастую у нас нет даже представления кто и как должен убирать лед, но у нас есть жеки, дезы и прочие непонятно кто которые делают вид что работают, мы думаем что адекватно платим.
Мы (я про общество) зачастую просто не знаем как организовать ту самую уборку восзле домов. Максимум — слышим трескучую болтовню во время выборов или повышеняи цена на «услуги»…
И ничего тут враз не изменить. Ведь любые общественные отношения долюны строится на протяжении поколений. И институт дворников (или другой) тоже не исключение.
А из этого вывод, не получится революции. Резко даже себя не изменишь, какими бы благими не были намеряния. нужно просто понемногу но долго и постоянно стремиться лучшему и просто жить.
Эволюция (в долгосрочной перспективе) как правило выбирает лучшее
А я вас расскажу почему последние год-два так росла популярность DDoS атак.
Пару лет назад, а может и более, среди огромного количества разных DDoS ботов появился очень интересный экземпляр, бот Black Energy. Простой. Исключительно предназначенный для DDoS атак.
Так вот, года полтора назад он стал доступен для «массового кулхацкера» и довольно долго, почти год его можно было найти на форумах соответствующей направленности (разумеется не везде и не для всех, но вполне реально). Он и сейчас доступен.
Но!
в течении того года этот бот практически не обнаруживался антивирусами, а если обнаруживался, у него в комплекте был качественный модуль шифрования тела бота. криптор.
В итоге сети DDoS-ботнетов множились и росли, так как каждый кул-хацкер в ответ на… (например плохой комментарий) мог за-DDoS-ить сайт где его «обидели»… и хабр помнится тоже не минула чаша сия…
Что изменилось?
сейчас тот модуль криптования уже не срабатывает, он обнаруживается как сигнатурными анализаторами, так и — (сам бот) проактивными защитами. Но после года успешного существования.
В итоге, по моим наблюдением уже около 4х месяцев происходит некоторый спад (вполне заметный даже без точной статистики) DDoS атак. Сужу по функционированию обслуживаемых мною серверов, где была реализована некоторая анти-DDoS компонента.
Практика показывается что оценка «самого лучшего» очень субъективна.
И в итоге рядом с самой большой кормушкой всегда оказываются не таланты дела, о котором вы говорите, а таланты «социальные», умеющие лучше всех себя показать и оттереть _всех_ других.
Не в ограничении конектов на nginx дело, не только и не столько.
Его задача не дать тому, что пропущено или еще не заблокировано файрволом убить апач на бэкенде. для этого надо кое что еще, например хитрые редиректы или другое, что не обходится ботами, но приемлемо для броузеров. еще раз повторю, это просто последний рубеж «обороны».
Ограничение коннектов проще делать на уровне файврола, как по частоте синов, так и по количеству перелельных конектов. Там же и фильтровать по признакам, по ipset-ам и так далее.
Про расширения — того что есть в patch-o-matic — достаточно
чтобы успешно бороться с ддос-ом средствами обычных «тазиков».
но существуют и дописанные модули, однако то отдельная тема
Может когданибудь…
просто это комплексное, многовариантное и довольно сложное дело… зависящее от спицифики защищаемых сайтов и системы.
было бы просто и одинаково — не было бы DDoSов.
Если кратко, обычно это
несколько патчей и настроек на ядро, расширений файрвола, скрипты отлова ддосеров, да еще и nginx с некоторыми хитростями на верхний уровень.
а что _ты_ знаешь о DDoS-е? только то что пишут в рекламных буклетов цисок и прочих?
почему вообще столь категорично судишь о чужих знаниях и умениях?
давай ты будешь мне платить небольшую часть того что собрался платить за железяки, да и то по окончании месяца например, как увидишь результат? ;)
а если серъезно сервера с моим решением уже не раз «просили» убраться с датацентров… именно потому что они работали и ддос поток пролжался, мешая работать датацентру.
… наверное не зря на андеграунд форумах ценятся базы актуальных емейл адресов. и разумеется свежих, живых.
Причем базы с определенными критериями сбора, например поиска работы, служб знакомств и так далее.
Далее,
есть приложения в которых иногда находят уязвимости, но тем не менее их можно считать достаточно надежными — пример Vbulletin форум
Кроме того, зачастую даже сомнительный скрипт можно поставить достаточно «безопасно»
то есть на уровне конфига апача запретить php, ssi, оверрайд опций для всех доступных на запись директорий, расставить права, запретить лишние функции пхп (те же шел-вызовы и варианты).
А еще есть мод-секурити и КО…
Да и для совсем тяжелых случаев — включить selinux или аналог.
Но это все детали, я к тому что подобная классификация малополезна и относительна
Мягко говоря не совсем адекватная оценка…
Для популярных приложений баги ищут специально, и соответвенноо находят чаще, не то что для редко всречающихся…
Потому что в этих маршрутизаторах сравнительно слабый процессор и он быстрее просто не умеет.
Впрочем аналогично или даже хуже в абсолютном большинстве маршрутизаторов.
из более быстрых могу упоминуть Asus WL500GP или даже WL500W
но и там не 100 мбит.
просто зачастую у нас нет даже представления кто и как должен убирать лед, но у нас есть жеки, дезы и прочие непонятно кто которые делают вид что работают, мы думаем что адекватно платим.
Мы (я про общество) зачастую просто не знаем как организовать ту самую уборку восзле домов. Максимум — слышим трескучую болтовню во время выборов или повышеняи цена на «услуги»…
И ничего тут враз не изменить. Ведь любые общественные отношения долюны строится на протяжении поколений. И институт дворников (или другой) тоже не исключение.
А из этого вывод, не получится революции. Резко даже себя не изменишь, какими бы благими не были намеряния. нужно просто понемногу но долго и постоянно стремиться лучшему и просто жить.
Эволюция (в долгосрочной перспективе) как правило выбирает лучшее
Пару лет назад, а может и более, среди огромного количества разных DDoS ботов появился очень интересный экземпляр, бот Black Energy. Простой. Исключительно предназначенный для DDoS атак.
Так вот, года полтора назад он стал доступен для «массового кулхацкера» и довольно долго, почти год его можно было найти на форумах соответствующей направленности (разумеется не везде и не для всех, но вполне реально). Он и сейчас доступен.
Но!
в течении того года этот бот практически не обнаруживался антивирусами, а если обнаруживался, у него в комплекте был качественный модуль шифрования тела бота. криптор.
В итоге сети DDoS-ботнетов множились и росли, так как каждый кул-хацкер в ответ на… (например плохой комментарий) мог за-DDoS-ить сайт где его «обидели»… и хабр помнится тоже не минула чаша сия…
Что изменилось?
сейчас тот модуль криптования уже не срабатывает, он обнаруживается как сигнатурными анализаторами, так и — (сам бот) проактивными защитами. Но после года успешного существования.
В итоге, по моим наблюдением уже около 4х месяцев происходит некоторый спад (вполне заметный даже без точной статистики) DDoS атак. Сужу по функционированию обслуживаемых мною серверов, где была реализована некоторая анти-DDoS компонента.
И в итоге рядом с самой большой кормушкой всегда оказываются не таланты дела, о котором вы говорите, а таланты «социальные», умеющие лучше всех себя показать и оттереть _всех_ других.
Его задача не дать тому, что пропущено или еще не заблокировано файрволом убить апач на бэкенде. для этого надо кое что еще, например хитрые редиректы или другое, что не обходится ботами, но приемлемо для броузеров. еще раз повторю, это просто последний рубеж «обороны».
Ограничение коннектов проще делать на уровне файврола, как по частоте синов, так и по количеству перелельных конектов. Там же и фильтровать по признакам, по ipset-ам и так далее.
Про расширения — того что есть в patch-o-matic — достаточно
чтобы успешно бороться с ддос-ом средствами обычных «тазиков».
но существуют и дописанные модули, однако то отдельная тема
мда… вот и троли пожаловали…
просто это комплексное, многовариантное и довольно сложное дело… зависящее от спицифики защищаемых сайтов и системы.
было бы просто и одинаково — не было бы DDoSов.
Если кратко, обычно это
несколько патчей и настроек на ядро, расширений файрвола, скрипты отлова ддосеров, да еще и nginx с некоторыми хитростями на верхний уровень.
почему вообще столь категорично судишь о чужих знаниях и умениях?
давай ты будешь мне платить небольшую часть того что собрался платить за железяки, да и то по окончании месяца например, как увидишь результат? ;)
а если серъезно сервера с моим решением уже не раз «просили» убраться с датацентров… именно потому что они работали и ддос поток пролжался, мешая работать датацентру.
(но только если у тебя свой дедик)
Причем базы с определенными критериями сбора, например поиска работы, служб знакомств и так далее.
_jabber._tcp.company.ru. 3600 IN SRV 5 0 5269 company.ru.
_xmpp-server._tcp.company.ru. 3600 IN SRV 5 0 5269 company.ru.
_xmpp-client._tcp.company.ru. 3600 IN SRV 5 0 5222 company.ru.
да и это нелишне
jabber.company.ru. 3600 IN CNAME company.ru.
icq.company.ru. 3600 IN CNAME company.ru.
есть приложения в которых иногда находят уязвимости, но тем не менее их можно считать достаточно надежными — пример Vbulletin форум
Кроме того, зачастую даже сомнительный скрипт можно поставить достаточно «безопасно»
то есть на уровне конфига апача запретить php, ssi, оверрайд опций для всех доступных на запись директорий, расставить права, запретить лишние функции пхп (те же шел-вызовы и варианты).
А еще есть мод-секурити и КО…
Да и для совсем тяжелых случаев — включить selinux или аналог.
Но это все детали, я к тому что подобная классификация малополезна и относительна
Для популярных приложений баги ищут специально, и соответвенноо находят чаще, не то что для редко всречающихся…
но проще
yum install denyhost
лежит в куче репозитариев, не требует натсройки, не использует файрвол,
просто пишет в /etc/host.deny адреса атакующих…
Впрочем аналогично или даже хуже в абсолютном большинстве маршрутизаторов.
из более быстрых могу упоминуть Asus WL500GP или даже WL500W
но и там не 100 мбит.