Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Сообщения за день
 

Вернуться   Форум Flasher.ru > Flash > Серверные технологии и Flash

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 28.09.2009, 09:30
Tr1te вне форума Посмотреть профиль Отправить личное сообщение для Tr1te Найти все сообщения от Tr1te
  № 1  
Ответить с цитированием
Tr1te
 
Аватар для Tr1te

Регистрация: Jun 2009
Сообщений: 461
Question Защищаемся от дос атак.

Как защитить сервер от дос атак?
Имеется Вэб сервер, с SQL и PHP. К нему подсоединяются флэш клиенты.
Не знаю как защищать свой сервер, то что в голову пришло это написать на PHP обработчик запросов, определяет IP адрес, входящего пакета, и обрабатывает запрос не чаще чем период времени t. Правильное ли это решение? Может быть есть какие-то другие способы, например на стороне самого вэб сервера, у меня стоит apache.
(Если есть какие то готовые скрипты, я бы рад был на них посмотреть)
Заранее спасибо.

Старый 28.09.2009, 11:37
flash33 вне форума Посмотреть профиль Отправить личное сообщение для flash33 Найти все сообщения от flash33
  № 2  
Ответить с цитированием
flash33
 
Аватар для flash33

Регистрация: Nov 2005
Сообщений: 1,155
Нормальная защита на стороне сервера выполняется аппаратно, а скрипты - они защитят от спама, а представьте вас атакуют с прокси и ип отследить будет невозможно. Да и по любому при польшой загружености канала ваш сервер повиснет какие бы вы там скрипты не повесили, а то и быстрее. Так что забейте. Когда появится острая необходимость можно доверить это дело профи, но ведь до этого надо еще дожить. Вы предвосхищаете события

Старый 28.09.2009, 14:16
pwlnw вне форума Посмотреть профиль Отправить личное сообщение для pwlnw Найти все сообщения от pwlnw
  № 3  
Ответить с цитированием
pwlnw

Регистрация: Sep 2009
Сообщений: 44
Более-менее удовлетворительную реакцию обеспечивает скрипт DoS-Deflate (статеечка http://dedicatesupport.com/archives/48 )
Разумеется, вам потребуется права root и некоторый опыт администрирования. Простенькие ddos вполне может отразить. Вопрос о скриптах на php вообще не стоит - слишком велики накладные расходы на запуск php. Этот скрипт получает список текущих соединений и блокирует некоторые ip. Метод не без проблем, но доступный.

Кстати, все эти "аппаратные защиты" на вскрытии оказываются банальным ПК-маршрутизатором с pci-картами и загрузкой с флешки. Не готовы медленные процессоры маршрутизаторов переваривать и инспектировать трафик достаточно быстро. Так что в умелых руках обычный линукс не хуже.

Следующий этап - распределенный сервис принимающий и фильтрующий трафик в несколько точек по всему миру (и тем самым делающий невозможным забивание канала у провайдера). Там действительно выгоднее пользоваться чужой развернутой инфраструктурой. Оплата там за отфильтрованный трафик.


Последний раз редактировалось pwlnw; 28.09.2009 в 14:23.
Старый 28.09.2009, 16:07
duhowka вне форума Посмотреть профиль Отправить личное сообщение для duhowka Найти все сообщения от duhowka
  № 4  
Ответить с цитированием
duhowka

Регистрация: Mar 2009
Сообщений: 317
2pwlnw любое ПО это Layer3, а защита нужна на L2

2Tr1te хостер нужен с железяками, и чтобы это было прописано в договоре. Хотя почти у всех об этом даже не задумаются, хостер просто отрубает...

Старый 28.09.2009, 16:41
Tr1te вне форума Посмотреть профиль Отправить личное сообщение для Tr1te Найти все сообщения от Tr1te
  № 5  
Ответить с цитированием
Tr1te
 
Аватар для Tr1te

Регистрация: Jun 2009
Сообщений: 461
А если хостер - я? То какие железяки надо смотреть?

Старый 28.09.2009, 22:10
duhowka вне форума Посмотреть профиль Отправить личное сообщение для duhowka Найти все сообщения от duhowka
  № 6  
Ответить с цитированием
duhowka

Регистрация: Mar 2009
Сообщений: 317
на сколько я знаю пожалуй единственное в России это Арбор. Только стоит оно ого-го и скорее оно для операторов связи. в основном ддосом занимаются дети.
оптимальным решением является наличием парочки шарящих админов, нескольких "бекапных" сервачков и отработанного регламента при таких случаях.

бывают конечно и сурьезные дятьки за большую денежку делают, как это было несколько лет назад когда нерф чуть не положила весь инет из-за ддос корневых днс... эх. но это очень редко и в любом случае не дешево, поэтому все и забивают
з.ы циско обещает осенью сделать

Старый 28.09.2009, 22:10
pwlnw вне форума Посмотреть профиль Отправить личное сообщение для pwlnw Найти все сообщения от pwlnw
  № 7  
Ответить с цитированием
pwlnw

Регистрация: Sep 2009
Сообщений: 44
Звоните в ближайшую компанию-интегратор и они вам навешают лапши и про layer2 и про cisco asa и про arbor. По крайней мере, сможете перепродавать под видом защиты от ДДОС и клиенты будут спокойны до поры до времени.
Кое-кто, смотрю, уже звонил.

Добавлено через 3 минуты
Кстати, если кто-то согласится мне помочь в моих начинаниях http://www.flasher.ru/forum/showthread.php?t=130308, помогу отразить средний ддос.
Эффективность зависит от того насколько вы готовы пойти вперед и поставить удобные мне ОС - ubuntu (либо другой линукс с ipset ) либо freebsd c openbsd packet filter. С неудобными я не стану работать. Сервис я не предоставляю, но готов делиться опытом.

Добавлено через 5 минут
duhowka, ну так на заметку, как собрать Карпаративный Файрволл и Машрутизатор cisco pix layer2 бла-бла-бла грозу ддос и тд : http://ccie.pl/articles/frankenpix.html
В принципе и в cisco asa ничего архитектурно не изменилось - обычные PC-тазики с быстрыми PCI-картами. Википедия вам поможет в этом убедиться.


Последний раз редактировалось pwlnw; 28.09.2009 в 22:21.
Создать новую тему Ответ Часовой пояс GMT +4, время: 23:22.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 23:22.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.