-
- Если полностью аппаратное решение не самоцель, масочное ПЗУ тоже, то в дешёвых роутерах для дома/миниофиса уже достаточно давно есть поддержка черных списков. Кроме того, если Вы не делаете оборудование для провайдеров, то такие задачи не актуальны. Vit(222 знак., 27.06.2009 16:49, ссылка)
- Как я уже тут долго распинаюсь, полностью программное или полностью аппаратное решение никогда не будут эффективными. Только симбиоз. - Evgeny_CD(27.06.2009 16:55)
- Я скорее думаю о защите для простого сервера, который выставлен в инет. Специальные тарифные планы с поддержкой защиты от DDoS атак на уровне бекбона провайдера стоят очень дорого. - Evgeny_CD(27.06.2009 16:53)
- У моей материнки в чипсете заложен "почти аппаратный" файрволл. точно то, что дурная работа по подсчёту CRC делается там на аппаратном уровне. что ещё - можно спросить у NVidia - Vit(27.06.2009 17:52)
- "простой" сервер на 10К машин? а насчёт DDoS проблемы могут быть по-любому, но они тем и отличаются, что бодают не с одного IP/MAC, а с туевой хучи. В принципе, с помощью DummyNet давится, но эффективно лишь при наличии белого списка. Кстати, на днях Vit(38 знак., 27.06.2009 17:36, ссылка)
- Хм... 10к атакующих машин - такого ботнета вроде пока еще не было. 6 вроде макс. из зарегистрированных. Сколько у меня будет "белых" юзеров, и откуда они - мне неведомо, вариант с белым списком не поможет. Еще раз. Если нас гасят пакетами по 64 байта, Evgeny_CD(203 знак., 27.06.2009 18:40)
- DummyNet это эмулятор плохой связи. Для IPFW устанавливается правило - все запросы с длиной менее N, пинги и подобная фигня отправляются в узкий DummyNet Pipe (или разные пайпы) - шворку с заданной убогой пропускной способностью - там просто заданная Vit(128 знак., 27.06.2009 18:58)
- Гы-гы, т.е. мы просто увеличиваем шансы гадов на успех :) Втт пришла к нам куча пакетов. Есть наши, и есть пакеты гадов. Пакетов гадов намного больше. Сузив полосу для всех, мы отрежем пропорциональное число пакетов. Т.е. белые пакеты тоже порежутся. - Evgeny_CD(27.06.2009 19:11)
- Внимательнее читайте, пожалуйста. Я не писал "для всех пакетов". Vit(809 знак., 27.06.2009 20:05)
- И все равно толком это проблему не решит. Ок, выкинули мы мелкие пакеты - чуть легче стало. Флудить нас теперь можно только пакетами по 256 байт и более. Но их все равно десятки тысяч в секунду. Приняли мы пакет. Evgeny_CD(237 знак., 27.06.2009 22:20)
- ;) Нельзя объять необъятное(С) Vit(885 знак., 27.06.2009 23:40)
- Я когда-то администрил Linux Router, который бутился с дискеты. Там NAT с учетом трафика по группам юзеров был верхом достижений :) Шейпингом точно не пришлось заниматься. - Evgeny_CD(27.06.2009 20:07)
- Именно поэтому и была поставлена фряха;) - Vit(27.06.2009 20:41, ссылка)
- И все равно толком это проблему не решит. Ок, выкинули мы мелкие пакеты - чуть легче стало. Флудить нас теперь можно только пакетами по 256 байт и более. Но их все равно десятки тысяч в секунду. Приняли мы пакет. Evgeny_CD(237 знак., 27.06.2009 22:20)
- Внимательнее читайте, пожалуйста. Я не писал "для всех пакетов". Vit(809 знак., 27.06.2009 20:05)
- Гы-гы, т.е. мы просто увеличиваем шансы гадов на успех :) Втт пришла к нам куча пакетов. Есть наши, и есть пакеты гадов. Пакетов гадов намного больше. Сузив полосу для всех, мы отрежем пропорциональное число пакетов. Т.е. белые пакеты тоже порежутся. - Evgeny_CD(27.06.2009 19:11)
- DummyNet это эмулятор плохой связи. Для IPFW устанавливается правило - все запросы с длиной менее N, пинги и подобная фигня отправляются в узкий DummyNet Pipe (или разные пайпы) - шворку с заданной убогой пропускной способностью - там просто заданная Vit(128 знак., 27.06.2009 18:58)
- Хм... 10к атакующих машин - такого ботнета вроде пока еще не было. 6 вроде макс. из зарегистрированных. Сколько у меня будет "белых" юзеров, и откуда они - мне неведомо, вариант с белым списком не поможет. Еще раз. Если нас гасят пакетами по 64 байта, Evgeny_CD(203 знак., 27.06.2009 18:40)
- Если полностью аппаратное решение не самоцель, масочное ПЗУ тоже, то в дешёвых роутерах для дома/миниофиса уже достаточно давно есть поддержка черных списков. Кроме того, если Вы не делаете оборудование для провайдеров, то такие задачи не актуальны. Vit(222 знак., 27.06.2009 16:49, ссылка)