Перейти до

Защита от DDOS: Linux vs FreeBSD


Рекомендованные сообщения

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

Ссылка на сообщение
Поделиться на других сайтах

Что именно под ддосом ОС подразумевается? ICMP флуд что ли?

Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному?

Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа.

Ссылка на сообщение
Поделиться на других сайтах

Что именно под ддосом ОС подразумевается? ICMP флуд что ли?

Или ддос сервисов - который собссно оканчивается для разных сервисов/демонов по-разному?

Из личного опыта - линукс сильно нехорошо переносит out of memory при активном своппинге. Как это переживает бздя - мне неизвестно. Но для этих целей опять же есть инструменты ограничения ресурсов, выделяемых группам процессов, или радикальное решение - отключение свопа.

По ДДОС интересует все, как же без свопа то ???

Ссылка на сообщение
Поделиться на других сайтах

Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании.

Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним.

А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше.

Ссылка на сообщение
Поделиться на других сайтах

Молча без свопа. В нормальном режиме своп практически не юзается. Мало рамы - докупить не проблема, цены смешные - не 2000й год на дворе ведь. Можно и 16 гиг вкрячить на тазик при желании.

Ну а вообще - все решается в первую очередь на уровне сервисов. Чтобы ложился сервис, а не вся система. Для хттп - это nginx+php-fcgi вместо апача + лимиты, для системных сервисов - ограничение доступа только с нужных адресов и т.п.; + вынос всяческого ховна в VM/OpenVZ контейнеры - сдохло, ну и хрен с ним.

А заддосить ядро системы пингами или чем там еще - это надо умудриться... Каналы сдуются ИМХО намного раньше.

Планирую ставить фрю , nginx - принимающий запросы и отдающий их апачу (апач нужен для софта), перекомпиляция ядра с НУЖНЫМИ настройками + ipfw.

Ссылка на сообщение
Поделиться на других сайтах

Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится...

Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает.

Ссылка на сообщение
Поделиться на других сайтах

вопрос бредовый. все зависит от кривизны рук настраивающего. сетевые стеки примерно сравнялись уже, с точки зрения системы ограничения можно выставить одинаковые.

Ссылка на сообщение
Поделиться на других сайтах

Единственная защита от DDoS это децентрализация и распределение ресурсов. В противном случае как здесь упомянули каналы просядут раньше чем сервера и пофиг что на них стоит, что бздя, что линукс, что винда.

Ссылка на сообщение
Поделиться на других сайтах

Это какой же такой специфичный софт требует именно апач? У меня вебка со всяким хламом в виртуалке на php-fcgi+nginx крутится...

Хотя если и передавать - то только запросы к динамическим страничкам, статику пускай nginx переваривает.

Ну например панель управления хостингом

Ссылка на сообщение
Поделиться на других сайтах

Ну к примеру как-то так. Ну или так. Было бы желание.

Спасибо, за ссылочки,

есть ли необходимость защищать ДНС-сервер ?

Ссылка на сообщение
Поделиться на других сайтах

что вы подразумеваете под "защищать" ДНС сервер?

если подразумевается уствновка всех обычных разумных настроек, то да.

Ссылка на сообщение
Поделиться на других сайтах

что вы подразумеваете под "защищать" ДНС сервер?

если подразумевается уствновка всех обычных разумных настроек, то да.

Установить и настроить fail2ban

Ссылка на сообщение
Поделиться на других сайтах

Установить и настроить fail2ban

Ну и что вы ним анализировать в логах будете-то??? Какие запросы авторизации могут быть у днс сервера???????

Сделайте иптейблсом лимит новых соединений на заданный порт в единицу времени и все. Ну или бздевым файрволом.

Ссылка на сообщение
Поделиться на других сайтах

Спасибо, за ссылочки,

есть ли необходимость защищать ДНС-сервер ?

NS-ы нужно правильно настроить это решит 90% проблем.

Ссылка на сообщение
Поделиться на других сайтах

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее.

Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения.

 

Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух.

Ссылка на сообщение
Поделиться на других сайтах

Спасибо, за ссылочки,

есть ли необходимость защищать ДНС-сервер ?

NS-ы нужно правильно настроить это решит 90% проблем.

Ну ДНС настраивал, что к чему в принципе разбираюсь, но можно все же сцылочку как правильно настроить первичный и вторичный NS

Ссылка на сообщение
Поделиться на других сайтах

Конечно в первую очередь защищенность определяет кривость рук админа, но все же: статистика, личный опыт ???

DDOS DDOS-у рознь, бывают такие атаки что падают все. Различие в том, что криворукие падают быстрее.

Как показывает практика, защита должна строиться в первую очередь на уровне инфраструктуры, во вторую на уровне приложения.

 

Если мы говорим о промышленных масштабах то это одно, если об уровне хостера с парком оборудования в полтора тазика то тут подойдет хоть фря хоть линух.

Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу)

Ссылка на сообщение
Поделиться на других сайтах
Тут как раз в точку (тазик+УПС) - у меня будет хостинг в основном для своих целей, знакомых , а там может а на продажу)

 

Для дома для семьи, родственников и их друзей (сайты до 1000 посещений в день) ставь любой тазик, только сразу мозгов побольше на него любую хостинг панель. Хош платную, хош бесплатную. У меня для тех же целей стоит Plesk на центосе, уже лет пять (раскрутил спонсора). Там под сотню доменов (в основном джумла) с общим траффиком до пол терабайта в месяц.

Все что допиливалось на предмет оптимизации по моему, это mysql. Ну дырки по безопасности затыкаю суосин и последняя тут на форуме была, ну еще там было. Какие DOS атаки? Накой "Я и моя собака" кому то нужны. :)

Ну еще человечек решил драйвера с сайта отдавать, провел разьяснительную беседу повесил на ту папку nginx.

 

PS и два камушка на процессоре. Когда червяки под user account залазят то 1 камень на 100% занимают.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...