Re: соотношение балан сировщиков/веб-серверо в (оффтоп, но...)

[Andrew Kopeyko <kaa@xxxxxxxx>]

big bond wrote:
> 29 октября 2009 г. 20:21 пользователь Andrew Kopeyko <kaa@xxxxxxxx> написал:
> > big bond wrote:
> > > 29 октября 2009 г. 10:17 пользователь Andrew Kopeyko <kaa@xxxxxxxx>
> > > написал:
> > > > On Thu, 29 Oct 2009, big bond wrote:
> > > >
> > > > > > А вообще массированые атаки - это не так забота веб-сервера или
> > > > > > балансировщика, как оборудования на уровне провайдера для борьбы с
> > > > > > атаками.
> > > > > У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
> > > > > anomaly detector + cisco guard), ту атаку на апачи эта система не в
> > > > > состоянии определить, т.к. работает на сетевом уровне и с ее точки
> > > > > зрения 2-3 запроса в минуту - легитимны
> > > > На прошебшем HighLoad++ был отличный доклад Александра Лямина, где он
> > > > популярно объяснял что "запрос запросу рознь" - 2-3 запроса\мин к поиску
> > > > по
> > > > вашему сайту, да ещё с аргументами типа "а покажите мне последнюю
> > > > страницу
> > > > результатов" наверняка поставят вас сайт колом.
> > > >
> > > > А с точки зрения cisco guard - эти запросы почти такие же как и к
> > > > статической картинке.
> > > Вот и я о том же. Это все к тому, что фразы наподобие "борьба с
> > > атаками - дело спец. оборудования на стороне провайдера" не имеют под
> > > собой основания.
> > Это тоже неправильное мнение - просто они предназначены для несколько других
> > задач (хорошо помогают против массированного DDoS - множество случайных
> > запросов со множества ip-шников, и очень хорошо - против тупого, но
> > распределённого по всему миру, долбления на 1-2 URL), потому и спотыкаются
> > на чуть более "умной" атаке : против конкретных слабостей конкретного сайта.
> Судя по вашим теоретизированным рассуждениям - вы не совсем верно
> представляете задачи, решаемые устройствами класса CiscoDDoS. Такие
> устройства предназначены защищать от сетевых атак с большим packet
> rate (и тут они работают отлично): различные виды tcp, udp-флуда,
> спуфинг, атаки на заполнение канала. Если rate атаки невелик (1-2
> запроса в минуту с хоста, но хостов - десятки тысяч), то тут CiscoDDoS
> будет бессилен.
Так вот почему мы не понимали друг друга - мы же о разных вещах говорили!

Наверное, это меня провайдер избаловал - почти 3 года дому назад закрыв 
нас свежекупленным ЦискоГардом. Потому я уже и позабыл о проблемах 
сетевых атак - просто не вижу их. Только атаки на приложения остались - 
вот о них-то я и рассуждал.
Вы верно, Иван, подметили - в собственных руках я CiscoGuard не держал. 
Ну, не сложилось - есть у нас для этого специально обученные люди. Но 
участвовал в настройке защиты хостинга РУ-Центра - так что, некоторое 
представление о предмете, и не только теоретическое, всё же имею.

--
Best regards,
Andrew A. Kopeyko <kaa@xxxxxxxx>
http://www.zvuki.ru/