[Anti-ddos] Задаем вопросы...

Discussion in 'AntiDDos - АнтиДДОС' started by diznt, 8 Jul 2009.

  1. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    И так темы уже долго нету... Собственно создал так как есть некоторые вопросы
    Вопрос:

    Кто может сказать по собственному опыту как держат скрипты от ддоса (хорошо/плохо)
    Паблик скрипты наврятли держат но все таки интересует можно но ли на собственном php скрипте держать сайт от ддоса

    (я сейчас не касаюсь фаерволлов... токо интересует вопрос по скриптам)
     
  2. Fata1ex

    Fata1ex Elder - Старейшина

    Joined:
    12 Dec 2006
    Messages:
    703
    Likes Received:
    300
    Reputations:
    38
    По-моему ответ очевиден: все зависит от скрипта и от мощности ддоса. Этот вопрос из серии "поможет ли мне кастет, если на меня нападут злобные гопники?". Если к тебе подойдет один, то кастет будет очень кстати. Если же у тебя попросят закурить семь лбов, то кастет, увы, тебе уже не поможет :(
    Ответ: при небольшом ддосе да.
     
  3. Ali_MiX

    Ali_MiX Elder - Старейшина

    Joined:
    8 Oct 2006
    Messages:
    377
    Likes Received:
    67
    Reputations:
    -2
    так же поддерживаю мнение про силу дос атаки и так сказать "силу" скрипта.
     
  4. Funk

    Funk Member

    Joined:
    8 Jun 2009
    Messages:
    12
    Likes Received:
    17
    Reputations:
    0
    Никак они не держат
     
  5. 1ce666

    1ce666 Member

    Joined:
    9 Dec 2008
    Messages:
    45
    Likes Received:
    79
    Reputations:
    -4
    Linux и правильно настроенный сервер поможет от атак малолеток. А от крупного ддоса я думаю это не поможет :(
     
  6. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Можно сделать скриптами минимальную нагрузку на сервер.
    Скаже они из простых способов. Создается html страничка где ява скрипт который проставляет куки и делает редирект уже на страничку с php (где можно проверять куки а можно и не проверять). Ддос бот редирект яваскрипта не обойдет. Будет грузить только html страничку, нагрузка на сервер будет минимальна.
     
  7. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    окей, и я спрошу)
    представляем.

    вводные:
    10 сайтов: [site1.ru site2.ru ... site10.ru] сайты _пустые_ , все, что на них есть - редиректы.
    редиректы видут на сайты
    [fjgdsk1.ru fjgdsk2.ru ... fjgdsk30.ru]
    точнее 10 верхних сайтов редиректят на 10 нижних, но при необходимости редирект можно менять.

    На верхних сайтах - только редирект. Хорошие хостинги на мощных серверах, широкие каналы.
    На нижних - контент. Обычные бесплатные хостинги типа Юкоза.
    контент на всех сайтах идентичен, при необходимости сайты с контентом могут создаваться новые, благо все бесплатно.

    *рекламируются* только сайты с редиректами. Именные. 10 штук.
    нижние - дроп. можно создавать условно- бесконечное число зеркал на огромном количестве разных хостов.

    Вопрос
    Насколько такая сетка ДДОС-о устойчива?
    (при том, что юзеры знают, что если лежит site1.ru они могут зайти через site2.ru)

    "задача" - грубо говоря положить более 2\3 сети.
    точнее задача в обратном, но смысл вы поняли:p
     
    #7 ErrorNeo, 8 Jul 2009
    Last edited: 8 Jul 2009
  8. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    бесплатные хостинги держатся благодаря ограничениям ограничениям как и большикство платных. Если число конектов будет забито ддосером никто никуда не попадет. Хз как тут решить. Все зависит от целей.
     
    #8 Егорыч+++, 8 Jul 2009
    Last edited: 8 Jul 2009
  9. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Cthulchu проверка куки делается на уровне nginx или htaccess
     
  10. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    1. что-то мне подсказывает что 10 "обычных" качественных платных хостингов в разных странах веселее одной выделенной машины. Тем более ни нагрузки на сайты-редиректы, ни трафика не будет. Можно покупать хоть самые дорогие тарифы хостинга этих редиректов.

    2. основная реклама - спам. Только черные методы.

    3. не факт. по сути много мелких ресходов. Хотя, конечно, содержание стольких доменных имен и влетит в копеечку.
    НО - не сравнимую с тем кто называется "защита от ДДОСа"
    сколько то тысяч _рублей_ в год. Вовсе не долларов и не в месяц;)

    4. если началась атака на сайт fjgdsk2.ru - редирект, который вел на него можно тут же можно сменить на fjgdsk22.ru.
    Точнее это следует реализовать как-то автоматически.

    5 пункт

    ------------------------------------
    Егорыч. смерть бесплатных сайтов типа fjgdsk2.ru - не принципиальна. Их можно клонировать условно- бесконечно, причем бесплатно и главное - без ущерба для конечного пользователя, т.к. он даже не запоминает их бредовых названий, зная лишь 10 имен сайтов с редиректами..
    в то время как ддос сайтов с контентом, даже на беспатных хостингах - тоже будет стоить денег.

    -----------------------------------
    цель - сделать ДДОС максимально затратным.
     
    #10 ErrorNeo, 8 Jul 2009
    Last edited: 8 Jul 2009
  11. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    Ктулху. В контексте античата это, к сожалению, сложнее((
    хостить проект кучей зеркал на бесплатных хостингах.. это практически гарантированная утечка привата. Как минимум в следствие уязвимости самих бесплатных хостингов)

    разве что разделить проект на приватную и паблик часть, и хостить одновременно на 2 хостах(точнее паблик - на 20 хостах-зеркалах и приват на 3-4 зеркалах-платниках) но с такими реализациями я еще не сталкивался, хз как это выглядело бы)

    + проблема с синхронизацией. Это ведь не полу-статичный сайт, как то, что описывал я в примере выше.=\
     
    #11 ErrorNeo, 8 Jul 2009
    Last edited: 9 Jul 2009
  12. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    как вариант сделать сайты
    login1_antichat.ru login2_antichat.ru ... login5_antichat.ru
    с редиректами, и расклонировать по крайней мере паблик часть ачата на 20 хостингах xD

    при необходимости редирект можно снимать с одних зеркал и кидать на другие.
    затратно, конечно. зато надежно
     
  13. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    если не будут возиться с 5 редиректами - придется "напрямую" класть одновременно 20 "конечных" зеркал)
    хотя напряг идет в обе стороны(
    держать 20 зеркал с парой гигов контента на каждом - тож не конфетка по стоимости=\ пусть даже с 1 гигом
     
  14. neval

    neval Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    457
    Likes Received:
    116
    Reputations:
    23
    Мда... ну что еще добавить?...

    Продолжаем писать защиты на php, при помощи htaccess, можно даже на javascript, mysql....


    А что до модели OSI, а в частности различия между 3 и 7 уровнями - так это так, не важно...


    http://forum.antichat.ru/showpost.php?p=630537&postcount=9
    http://forum.antichat.ru/showpost.php?p=630702&postcount=23
     
    #14 neval, 9 Jul 2009
    Last edited: 9 Jul 2009
    2 people like this.
  15. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,388
    Likes Received:
    1,209
    Reputations:
    475
    изис как то хвалился что создал супер защиту от ддоса на пшп)) можете поискать на форуме
     
  16. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Разве нельзя замутить такую фишку? Написать небольшой сервер, который при коннекте к себе проверяет, какой IP подключился (делаем accept). Если IP находится в черном списке, - сразу разрываем соединение, не принимая и не отсылая никаких данных.
     
  17. Dimi4

    Dimi4 Чайный пакетик

    Joined:
    19 Mar 2007
    Messages:
    750
    Likes Received:
    1,046
    Reputations:
    291
    Я где то слышал это называется FireWall :D
     
    1 person likes this.
  18. Funk

    Funk Member

    Joined:
    8 Jun 2009
    Messages:
    12
    Likes Received:
    17
    Reputations:
    0
    neval, а человеческим языком прокомментировать этот пост? Имхо пост ни о чем, если нет конкретных примеров
     
    #18 Funk, 9 Jul 2009
    Last edited: 9 Jul 2009
  19. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    О каких комментариях может идти речь если вам не известна мат.часть и общий принцип.

    После просмотра раздела у меня сложилось впечатление что не все понимают происходящие, а если конкретно то, разницу между нагрузкой на сам веб-сервер (приложение) и нагрузкой на каналы. Все продолжают писать скрипты на интерпретируемых языках тем самым увеличиваю нагрузку при каждом запросе.
    При направленной нагрузке на приложение лучше всего предоставить оборону аппаратным средствам.
    При нагрузке на каналы в дело должен вступать сам провайдер, так же с аппаратными средствами и очисткой трафика на более низких уровнях.
     
    _________________________
  20. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Безусловно, но при такой политике он далеко не уедет.
    Как банить и где? Трафик в любом случаи идет.
     
    _________________________