Re: соотношение балансировщиков/веб-серверов (оффтоп, но...)

big bond bondarets at gmail.com
Thu Oct 29 22:58:10 MSK 2009


29 октября 2009 г. 20:21 пользователь Andrew Kopeyko <kaa at zvuki.ru> написал:
> big bond wrote:
>>
>> 29 октября 2009 г. 10:17 пользователь Andrew Kopeyko <kaa at zvuki.ru>
>> написал:
>>>
>>> On Thu, 29 Oct 2009, big bond wrote:
>>>
>>>>> А вообще массированые атаки - это не так забота веб-сервера или
>>>>> балансировщика, как оборудования на уровне провайдера для борьбы с
>>>>> атаками.
>>>>
>>>> У нас стоит оборудование (наше) на стороне обоих провайдеров (cisco
>>>> anomaly detector + cisco guard), ту атаку на апачи эта система не в
>>>> состоянии определить, т.к. работает на сетевом уровне и с ее точки
>>>> зрения 2-3 запроса в минуту - легитимны
>>>
>>> На прошебшем HighLoad++ был отличный доклад Александра Лямина, где он
>>> популярно объяснял что "запрос запросу рознь" - 2-3 запроса\мин к поиску
>>> по
>>> вашему сайту, да ещё с аргументами типа "а покажите мне последнюю
>>> страницу
>>> результатов" наверняка поставят вас сайт колом.
>>>
>>> А с точки зрения cisco guard - эти запросы почти такие же как и к
>>> статической картинке.
>>
>> Вот и я о том же. Это все к тому, что фразы наподобие "борьба с
>> атаками - дело спец. оборудования на стороне провайдера" не имеют под
>> собой основания.
>
> Это тоже неправильное мнение - просто они предназначены для несколько других
> задач (хорошо помогают против массированного DDoS - множество случайных
> запросов со множества ip-шников, и очень хорошо - против тупого, но
> распределённого по всему миру, долбления на 1-2 URL), потому и спотыкаются
> на чуть более "умной" атаке : против конкретных слабостей конкретного сайта.
Судя по вашим теоретизированным рассуждениям - вы не совсем верно
представляете задачи, решаемые устройствами класса CiscoDDoS. Такие
устройства предназначены защищать от сетевых атак с большим packet
rate (и тут они работают отлично): различные виды tcp, udp-флуда,
спуфинг, атаки на заполнение канала. Если rate атаки невелик (1-2
запроса в минуту с хоста, но хостов - десятки тысяч), то тут CiscoDDoS
будет бессилен.
>
>> Борьба с атаками должна происходить на всех возможных
>> уровнях. На сетевом уровне CiscoGuard хорошо спасает, для защиты на
>> уровне приложения сейчас тестируем всяческие inline-IPS-ы и WAF'ы, на
>> уровне бекенда тоже нужно что-то думать.
>
>
> --
> Best regards,
> Andrew A. Kopeyko <kaa at zvuki.ru>
> http://www.zvuki.ru/
>
>


More information about the nginx-ru mailing list