Jump to content

Защита от DDOS: Linux vs FreeBSD

kvirtu

By kvirtu,
in DDoS protection

 Share Followers 1

Recommended Posts

kvirtu

kvirtu 315

Posted
Posted

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

Что именно под ддосом ОС подразумевается? ICMP флуд что ли?

Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному?

Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Что именно под ддосом ОС подразумевается? ICMP флуд что ли?

Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному?

Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа.

По ДДОС интересует все, как же без свопа то ???

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании.

Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним.

А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании.

Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним.

А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше.

Планирую ставить фрю , nginx - принимающий запросы и отдающий их апачу (апач нужен для софта), перекомпиляция ядра с НУЖНЫМИ настройками + ipfw.

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится...

Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает.

Link to post
Share on other sites
adeep

adeep 212

Posted
Posted

вопрос бредовый. все зависит от кривизны рук настраивающего. сетевые стеки примерно сравнялись уже, с точки зрения системы ограничения можно выставить одинаковые.

Link to post
Share on other sites
ramsess

ramsess 187

Posted
Posted

Единственная защита от DDoS это децентрализация и распределение ресурсов. В противном случае как здесь упомянули каналы просядут раньше чем сервера и пофиг что на них стоит, что бздя, что линукс, что винда.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится...

Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает.

Ну например панель управления хостингом

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

Мы у себя зарезали кол-во запросов с одного адреса из мира в единицу времени. Но скорее для перестраховки.

Link to post
Share on other sites
adeep

adeep 212

Posted
Posted

что вы подразумеваете под "защищать" ДНС сервер?

если подразумевается уствновка всех обычных разумных настроек, то да.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

что вы подразумеваете под "защищать" ДНС сервер?

если подразумевается уствновка всех обычных разумных настроек, то да.

Установить и настроить fail2ban

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

Установить и настроить fail2ban

Ну и что вы ним анализировать в логах будете-то??? Какие запросы авторизации могут быть у днс сервера???????

Сделайте иптейблсом лимит новых соединений на заданный порт в единицу времени и все. Ну или бздевым файрволом.

Link to post
Share on other sites
Serjio

Serjio 19

Posted
Posted

Спасибо, за ссылочки,

есть ли необходимость защищать ДНС-сервер ?

NS-ы нужно правильно настроить это решит 90% проблем.

Link to post
Share on other sites
Serjio

Serjio 19

Posted
Posted

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее.

Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения.

 

Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Спасибо, за ссылочки,

есть ли необходимость защищать ДНС-сервер ?

NS-ы нужно правильно настроить это решит 90% проблем.

Ну ДНС настраивал, что к чему в принципе разбираюсь, но можно все же сцылочку как правильно настроить первичный и вторичный NS

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее.

Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения.

 

Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух.

Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу)

Link to post
Share on other sites
aoz1

aoz1 2

Posted
Posted
Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу)

 

Для дома для семьи, родственников и их друзей (сайты до 1000 посещений в день) ставь любой тазик, только сразу мозгов побольше на него любую хостинг панель. Хош платную, хош бесплатную. У меня для тех же целей стоит Plesk на центосе, уже лет пять (раскрутил спонсора). Там под сотню доменов (в основном джумла) с общим траффиком до пол терабайта в месяц.

Все что допиливалось на предмет оптимизации по моему, это mysql. Ну дырки по безопасности затыкаю суосин и последняя тут на форуме была, ну еще там было. Какие DOS атаки? Накой "Я и моя собака" кому то нужны. :)

Ну еще человечек решил драйвера с сайта отдавать, провел разьяснительную беседу повесил на ту папку nginx.

 

PS и два камушка на процессоре. Когда червяки под user account залазят то 1 камень на 100% занимают.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...