соотношение балансировщиков/веб-серверов (оффтоп, но...)

Andrew Kopeyko kaa at zvuki.ru
Tue Nov 10 20:51:50 MSK 2009


big bond wrote:
> 29 октября 2009 г. 20:21 пользователь Andrew Kopeyko <kaa at zvuki.ru> написал:
>> big bond wrote:
>>> 29 октября 2009 г. 10:17 пользователь Andrew Kopeyko <kaa at zvuki.ru>
>>> написал:
>>>> On Thu, 29 Oct 2009, big bond wrote:
>>>>
>>>>>> А вообще массированые атаки - это не так забота веб-сервера или
>>>>>> балансировщика, как оборудования на уровне провайдера для борьбы с
>>>>>> атаками.
>>>>> У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
>>>>> anomaly detector + cisco guard), ту атаку на апачи эта система не в
>>>>> состоянии определить, т.к. работает на сетевом уровне и с ее точки
>>>>> зрения 2-3 запроса в минуту - легитимны
>>>> На прошебшем HighLoad++ был отличный доклад Александра Лямина, где он
>>>> популярно объяснял что "запрос запросу рознь" - 2-3 запроса\мин к поиску
>>>> по
>>>> вашему сайту, да ещё с аргументами типа "а покажите мне последнюю
>>>> страницу
>>>> результатов" наверняка поставят вас сайт колом.
>>>>
>>>> А с точки зрения cisco guard - эти запросы почти такие же как и к
>>>> статической картинке.
>>> Вот и я о том же. Это все к тому, что фразы наподобие "борьба с
>>> атаками - дело спец. оборудования на стороне провайдера" не имеют под
>>> собой основания.
>> Это тоже неправильное мнение - просто они предназначены для несколько других
>> задач (хорошо помогают против массированного DDoS - множество случайных
>> запросов со множества ip-шников, и очень хорошо - против тупого, но
>> распределённого по всему миру, долбления на 1-2 URL), потому и спотыкаются
>> на чуть более "умной" атаке : против конкретных слабостей конкретного сайта.
>
> Судя по вашим теоретизированным рассуждениям - вы не совсем верно
> представляете задачи, решаемые устройствами класса CiscoDDoS. Такие
> устройства предназначены защищать от сетевых атак с большим packet
> rate (и тут они работают отлично): различные виды tcp, udp-флуда,
> спуфинг, атаки на заполнение канала. Если rate атаки невелик (1-2
> запроса в минуту с хоста, но хостов - десятки тысяч), то тут CiscoDDoS
> будет бессилен.

Так вот почему мы не понимали друг друга - мы же о разных вещах говорили!

Наверное, это меня провайдер избаловал - почти 3 года дому назад закрыв 
нас свежекупленным ЦискоГардом. Потому я уже и позабыл о проблемах 
сетевых атак - просто не вижу их. Только атаки на приложения остались - 
вот о них-то я и рассуждал.

Вы верно, Иван, подметили - в собственных руках я CiscoGuard не держал. 
Ну, не сложилось - есть у нас для этого специально обученные люди. Но 
участвовал в настройке защиты хостинга РУ-Центра - так что, некоторое 
представление о предмете, и не только теоретическое, всё же имею.



-- 
Best regards,
Andrew A. Kopeyko <kaa at zvuki.ru>
http://www.zvuki.ru/





More information about the nginx-ru mailing list