nginx & DDoS

Michael Vychizhanin ftor at memonet.ru
Tue May 15 18:42:48 MSD 2007 

Oleg Dambaev wrote:
> On Tue, May 15, 2007 at 05:31:52PM +0400, Michael Vychizhanin wrote:
>   
>> Oleg Dambaev wrote:
>>     
>>> On Mon, May 14, 2007 at 12:37:02PM +0400, kot wrote:
>>>  
>>>       
>>>> Добрый день!
>>>> Прощу помощи у знающих людей и кто сталкивался атаками на свой сервер...
>>>>
>>>>  Уже более 16 часов идет DDoS атака на сервер...  
>>>> Кол-во IP тысячи из разных сетей (пытался болчить ipfw), но толку ноль... 
>>>> Скорее всего у атакующего целый
>>>> ботнет... 
>>>>
>>>>
>>>> спасибо
>>>>
>>>>    
>>>>         
>>> Если не ошибаюсь есть железное решение этого вопроса, но оно довольно 
>>> дорогое.
>>>
>>> Опять же исходя из соображений, если сайт в результате простоя теряет 
>>> $40000 ежечасно, то есть резон воплотить это решение в жизнь.
>>> Называется оно, если не изменяет память, Cisco Guarder, позволяет 
>>> фильтровать по _трафик_ (не хосты или сетки) по каким-то определенным 
>>> признакам.
>>>  
>>>       
>> Да, но опять же, какие нагрузки в свою очередь может держать эта железка?
>> Не так давно имел DDoS с Cisco PIX515 на входе и около 700000 запросов в 
>>     
>
> Точно сейчас не скажу по цене, но одно время это решение было не по карману "немаленькому" ISP, в отличие от PIX. Выводы делайте сами. Может я покажусь заносчивым, но у меня есть основания доверять Cisco при их заявлениях, что "это решение лучше не потому что дороже, а потому что лучше", даже в сравнении с PIX.
>
> Советую ознакмиться http://cisco.com/en/US/products/ps5894/index.html
>   
Собственно вопрос так и стоит, есть ли смысл покупать данную железку (по 
примерным данным стоимость ее вне Росии будет около 50K) . И подход 
именно такой, что дело не в деньгах, а в разумности покупки. К Cisco 
отношусь с настороженностью в области конкурентных решений низшего 
звена, когда можно найти адекватную замену у другого производителя. При 
серьезных и мощных же железках экономия боком потом выйдет.

>
>
>   
>> течение 5 минут. Пикс отправлял в черную дыру около 70% всего трафика, с 
>> консоли был виден тем не менее, но все таблицы трансляций (а он все-таки 
>> не маршрутизатор, а фаерволл) были переполнены, память была забита 
>> полностью, все что было за пиксом не было практически видно.
>>
>>     
>>> Ну а поскольку у атаки как правило есть какой-то объединяющий признак, 
>>> задать железке этот признак, как нежелательный и подлежащий отсечению, 
>>> труда не составит.
>>>
>>> Еще раз замечу, это решение будет выгодно и правильно только при "бизнес 
>>> потеряет больше, если не поставит железку".
>>>
>>>
>>>  
>>>       
>> -- 
>> Michael Vychizhanin
>>
>>     
>
>   


-- 
Michael Vychizhanin

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20070515/ec1480f8/attachment.html>

More information about the nginx-ru mailing list