Vlákno názorů k článku Česká média zaplavily vlny DDoS útoku, přicházel z Ruska [AKTUALIZOVÁNO] od bw - mno tak si to vezmeme: 1) ddos se odvratit...
-
bw (neregistrovaný)
mno tak si to vezmeme:
1) ddos se odvratit pouzitim dobre napsane CDNky
2) na trhu je firma, ktera se chlubi, jak dokaze zvladat kvanta sveho trafficu (jmeno neprozradim) a zaroven nema moc daleko k svinarnam (resp. z nich zije)
3) clovek za touto firmou pise svoji CDNku (modri vedi ;)
4) uvedeni konecne verze ze 3) se blizi
5) dotycny prave za pomoci organizovaneho ddosu + 2) ziskava argumenty, proc pouzit zrovinka jeho CDN
6) dotycny kontaktuje vydavatelstvi mfdnes a spol.
7) profit!!! -
Martin Kalenda (neregistrovaný)
Prijde mi to jako pritazene za vlasty, nicmene tyto utoky se pravidelne opakuji na radu vetsich projektu v cr ze kterych koukaji penize. Cdnku nabizi kde kdo a vydavatelum se rozhodne tento typ CDN pro tyto utoky nehodi.
V cechach to dela nekolik firem globalneji tj tak aby to fungovalo jak ma, vyfavatelum by asi vic pomohli reverzni proxy ktere muzou skalovat do nevidim a udrzet provoz byt za cenu zvysenych nakladu.
Kde je centrum a penize z domen vidime vsichni, predhazuji (jako stovky jinych) tuto myslenku cz.nicu ale ten nikdy nic v tomto smeru nepodpori v ochrane proti tomuto se toci prilis velke penize aby je nekdo rozpoustel ve vode jen proto ze nejakej lab by dokazal kdyz uz nic generovat a monitorovat takovej traffic aby si poskytovatele obsahu mohli sve systemy zodolnit.
Jako fajn 100g router je prima ale az bude bude to jeste horsi, utoky muzou lezt z tranzitu. staci par se tisic kilopaketu a nazdar naklady na provozovatele okolo 80-100k mesicne aby tomu celil - naklady na porizeni 2000 ecek, deleno 31 dny je to 70eur na jednoho potencionalniho zakaznika.
-
Martin Kalenda (neregistrovaný)
Jedná se v podstatě o obyčejnou proxy akorát reverzní tj je před webserverem. Nicméně nejde o to že technologie něco spasí jde o to že může být sdílená a např cz.nic by mohl investovat miliony z přebytku které sype do marketingu a nesmyslů jako podpora mojeID (resp výplata peněz v motivačním programu) a věnovat čas ve svých labech obraně proti tomuto typu útokům.
Výhoda je že to můžete škálovat v desítkách kusů serverů - samozřejmě bych rád utopicky věřil že by stát měl dát k dispozici třeba stovku takových serverů na ně provoz nalít a spolupracovat na identifikaci protivníka (např nákupem "státní" konektivity z řady tranzitních uzlů).
Dokonce si myslím že jako shared infrastrukturu by to stát mohl provozovat sám pro sebe, chránit ty systémy jednotlivě proti takovémuto druhu útoku je téměř nemožné. Pro providery s jedním dvěma uplinky je problém - pak je řešení do tranzitu vypropagovat ty IP někam do tuvalu nebo do /dev/null a odříznout svět.Zaplať pánbůh za NIX a to že nixem sice takovej bordel taky proteče ale podaří se to identifikovat a zařízne se to. Imho by měla být kontrola na source důrazněji dodržována (není všichni na to serou).
-
http://tumblr.intranation.com/post/766288369/using-nginx-reverse-proxy třeba tenhle. Zbytek najdete v dokumentaci k Nginxu.
Reverzní proxy je primárně o tom, že vám může vydávat statiku (tu Nginx vydává brutálně rychle), případně po určitý čas (minutu, pět minut, ...) cacheovat dynamiku, kterou generuje jiný webserver (Apache, ...).
-
Martin Kalenda (neregistrovaný)
Ale ochrání, stačí jích mít desítky pak se jedná o desetisíce paketů/sec a ty "ubráníte" konveční metodou tj paketovým filtrem. jde o to že proxy funguje v podstatě pouze jako "tunel" mezi tím kde ty webserveryskutečně běží a tím jak jsou vidět z venku.
Bohužel to neřeší když útočník utočí přímo ale to se da přes SBO zařídít.
ČLÁNKY DO MAILU