nginx & DDoS

Oleg Dambaev odambaev at rbc.ru
Tue May 15 17:59:00 MSD 2007 

On Tue, May 15, 2007 at 05:31:52PM +0400, Michael Vychizhanin wrote:
> Oleg Dambaev wrote:
> >On Mon, May 14, 2007 at 12:37:02PM +0400, kot wrote:
> >  
> >>Добрый день!
> >>Прощу помощи у знающих людей и кто сталкивался атаками на свой сервер...
> >>
> >>  Уже более 16 часов идет DDoS атака на сервер...  
> >>Кол-во IP тысячи из разных сетей (пытался болчить ipfw), но толку ноль... 
> >>Скорее всего у атакующего целый
> >>ботнет... 
> >>
> >>
> >>спасибо
> >>
> >>    
> >
> >Если не ошибаюсь есть железное решение этого вопроса, но оно довольно 
> >дорогое.
> >
> >Опять же исходя из соображений, если сайт в результате простоя теряет 
> >$40000 ежечасно, то есть резон воплотить это решение в жизнь.
> >Называется оно, если не изменяет память, Cisco Guarder, позволяет 
> >фильтровать по _трафик_ (не хосты или сетки) по каким-то определенным 
> >признакам.
> >  
> Да, но опять же, какие нагрузки в свою очередь может держать эта железка?
> Не так давно имел DDoS с Cisco PIX515 на входе и около 700000 запросов в 

Точно сейчас не скажу по цене, но одно время это решение было не по карману "немаленькому" ISP, в отличие от PIX. Выводы делайте сами. Может я покажусь заносчивым, но у меня есть основания доверять Cisco при их заявлениях, что "это решение лучше не потому что дороже, а потому что лучше", даже в сравнении с PIX.

Советую ознакмиться http://cisco.com/en/US/products/ps5894/index.html



> течение 5 минут. Пикс отправлял в черную дыру около 70% всего трафика, с 
> консоли был виден тем не менее, но все таблицы трансляций (а он все-таки 
> не маршрутизатор, а фаерволл) были переполнены, память была забита 
> полностью, все что было за пиксом не было практически видно.
> 
> >Ну а поскольку у атаки как правило есть какой-то объединяющий признак, 
> >задать железке этот признак, как нежелательный и подлежащий отсечению, 
> >труда не составит.
> >
> >Еще раз замечу, это решение будет выгодно и правильно только при "бизнес 
> >потеряет больше, если не поставит железку".
> >
> >
> >  
> 
> 
> -- 
> Michael Vychizhanin
> 

-- 
WBR,
Oleg Dambaev
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 2220 bytes
Desc: not available
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20070515/8af4e369/attachment.bin>

More information about the nginx-ru mailing list