DDOS attack

[lavep]

а разве акамаи и все 3d party контент деливери уже работают с динамическим контентом?

address core problems of the Internet itself to optimize even fully dynamic and uncacheable transactions occuring on your site.

Dynamic Site Accelerator Enterprise
http://www.akamai.com/html/solutions/ds ... prise.html



понятно, что акамаевский фронт энд будет говорить с Станиславовскими базами и апликациями, но этот разговор будет идти по внутреннему каналу, а вопрос распределенного ДОСА будет решать акамай.

Я тут недавно пару их презентаций на BrightTALK смотрел (Distributed Denial of Service — War Stories from the Cloud Front). они там разбирали случай, когда их бомбили на 21 гигабит. Отметили, что конечно это существенный траффик, но далеко не предельный для их мощностей

Существенный плюс работы с ними заключается в том, что за счет распределенности они будут рубить ДДОС атаки не на входе к веб серверу, а максимально близко к атакающему зомби. Так что остальные этого даже и не увидят и не почувствуют

[meser]

хм, импрувились. когда я с ними имел дело они этого не умели.

[Stanislav]

Осталось только придумать как доставлять наш real-time контент на Акамай...

так же как и

2 of the top 5 world stock exchanges (Source: WFE)
8 of the top 10 U.S. online brokers (Source: SmartMoney)

Я боюсь, что мы не сможем использовать те же решения, что и биржи/брокеры - просто потому, что разные бизнес-модели, ну и денех у нас не столько много...

А поскольку

85% of the world’s Internet users are within a single “network hop” of an Akamai server

процентов 90-95 вероятности, что акамаевские сервера будут в том же дата центре пир1, где и твои серваки стоят. Так что все будет по локалке бежат, а наружу через акамай.

Я их не видал... хотя конечно на них не написано... Но, в чем разница, если мои сервера стоят рядом с акамаевскими? Ну разве что только в том, что в случае атаки я позвоню в Акамаи и скажу - ну а хрен ли вы? А они ответят - а нас ПИИР1 отрубил - мы тут не при чем...

[Stanislav]

когда будешь делать DNS round-robin не забудь проверку "на дохлый линк".
Скажем, есть IP1 и IP2. IP2 упал, а DNS так и будет тупо посылать половину запросов в никуда.
Чтобы избежать, DNS должен разрешать имя stanislav.xxx.com не в IP1 и IP2 по очереди, а в stanislav1.xxx.com и stanislav2.xxx.com, а только потом уже в IP1 и в IP2.
Параллельно IP1 и IP2 постоянно пингуются и если пинг вдруг не идет на IP2, то его алиас stanislav2.xxx.com->IP2 временно подменяется на stanislav2.xxx.com->IP1.
Ну ты понял идею.

Идею то я понял - но кто будет подменять IP? DNS это сам умеет? Если нет - то я сам могу файл зоны подредактировать - а зачем тогда алиасы городить?

Еще полезно сделать фичу типа "открытая http сессия всегда идет через тот же самый интерфейс", но это уже на файрволле. Я столкнулся с этим, когда коннект идет на IP1, а потом балансер гонит ответный траффик через IP2. А у клиента админ тоже не зря кашу ест, он сделал проверку на соответствие. В итоге было 2 месяца головняка с премежающимися непонятками и зависаниями, насилу разобрались.
коньяк будешь должен, начальству так и передай

У меня нет файрвола. Трафик идет прямо на лоад-балансер. Я не знаю, помнит ли он, куда и что надо возвращать...

[lavep]

Но, в чем разница, если мои сервера стоят рядом с акамаевскими?

Разница в том, что они твой ДДОС будут отрубать не на входе к твоему серверу, а на ближайшем к нападающему зомби хопе, поскольку акамай на бекбоне сидит. Отсюда, гораздо меньше нагрузки на твои сервера и как результат возможность нормальной работы с регионами, из которых не флудят.

+ Пир1 их не отрубит просто так, поскольку с ними вместе он отрубит и windowsupdate, антивирус апдейты и банки и много чего еще.

+ Как я уже не раз говорил, у них не гигабит и не 2 и не 3, а десятки этих самых гиговый ниток. Добавь к этому умные лоад балансеры, инфраструктуру заточенную бороться именно с ДДОСАМИ и поймешь их преимущества по сравнению с обычныи провайдером. Понятно, что все это не задаром, но имеет смысл посчитать и посмотреть не выйдет ли выгоднее работать с ними, нежели городить огород самому

[borei]

Но, в чем разница, если мои сервера стоят рядом с акамаевскими?

Разница в том, что они твой ДДОС будут отрубать не на входе к твоему серверу, а на ближайшем к нападающему зомби хопе, поскольку акамай на бекбоне сидит. Отсюда, гораздо меньше нагрузки на твои сервера и как результат возможность нормальной работы с регионами, из которых не флудят.

+ Пир1 их не отрубит просто так, поскольку с ними вместе он отрубит и windowsupdate, антивирус апдейты и банки и много чего еще.

+ Как я уже не раз говорил, у них не гигабит и не 2 и не 3, а десятки этих самых гиговый ниток. Добавь к этому умные лоад балансеры, инфраструктуру заточенную бороться именно с ДДОСАМИ и поймешь их преимущества по сравнению с обычныи провайдером. Понятно, что все это не задаром, но имеет смысл посчитать и посмотреть не выйдет ли выгоднее работать с ними, нежели городить огород самому

Правильно подмеченно - ДДОС не имеет большого смысла рубить на своей сторне тк траффик ты уже поймал и свое оборудование/каналы ты уже загрузил. Вообще это должна быть головная боль провайдера тк банить отдельгые IP как-то не спортивно в этой ситуации. Просто снимается с маршрутизации вся автономная система ддосера и пусть пров из сети которого атака возникла разбирается со своим гадюшником. Отрубать IP назначения - самое безтолковое решение ибо оно ничего не дает. Все ухищрения с load-balancer и firewall не очень помогут ибо это уже reaction.

[Шэф]

когда будешь делать DNS round-robin не забудь проверку "на дохлый линк".
Скажем, есть IP1 и IP2. IP2 упал, а DNS так и будет тупо посылать половину запросов в никуда.
Чтобы избежать, DNS должен разрешать имя stanislav.xxx.com не в IP1 и IP2 по очереди, а в stanislav1.xxx.com и stanislav2.xxx.com, а только потом уже в IP1 и в IP2.
Параллельно IP1 и IP2 постоянно пингуются и если пинг вдруг не идет на IP2, то его алиас stanislav2.xxx.com->IP2 временно подменяется на stanislav2.xxx.com->IP1.
Ну ты понял идею.

Идею то я понял - но кто будет подменять IP? DNS это сам умеет? Если нет - то я сам могу файл зоны подредактировать - а зачем тогда алиасы городить?

Еще полезно сделать фичу типа "открытая http сессия всегда идет через тот же самый интерфейс", но это уже на файрволле. Я столкнулся с этим, когда коннект идет на IP1, а потом балансер гонит ответный траффик через IP2. А у клиента админ тоже не зря кашу ест, он сделал проверку на соответствие. В итоге было 2 месяца головняка с премежающимися непонятками и зависаниями, насилу разобрались.
коньяк будешь должен, начальству так и передай

У меня нет файрвола. Трафик идет прямо на лоад-балансер. Я не знаю, помнит ли он, куда и что надо возвращать...

алиас подменяется скриптами, провайдер за DNS-синг чарджит, но и экстра фанкшионалити есть.

вопрос насчет что куда возвращать тебя не трогал только потому, что был всего один адрес. будет 2,3 - этот жареный петух обязательно где-то клюнет.

тут одни рассматривали акамаи. так те выкатили такой счет помесячно, что эквивалентный ROI всего за год. акамай хорош у кого реально много денег и интерент критичен чтобы это количество денег делать. а если не делаешь стоко, то останешься без трусов.

[meser]

......
алиас подменяется скриптами, провайдер за DNS-синг чарджит, но и экстра фанкшионалити есть.
...

я вот что-то не понял. ну допустим зона редактируется скриптом. доспустим TTL стоит 300 (если это bind, то меньше не получится), пусть зонный xfer для слэйвов будет на этом основании. но ведь есь еще и туева хуча dns кэшей различных не зависящих от нашего время жизни rr (на днс провайдеров, файрволлах, гейтах, операционки клиентов наконец), т.е. реальный пропагейшн часы! как такая система будет работать? зачем на днс (распределенную базу по сути) эту задачу возлагать?

[Шэф]

я вот что-то не понял. ну допустим зона редактируется скриптом.

Вопрос резонный.
Я все это понимаю.
Я чесно как-то не задумывался. Я когда это все городил, провайдерский сыскарь говорит: а вот это можно сделать, надо?... давай, какой там у вас узер-мануал, буду делать...
У нас государство ма-а-аленькое от края до края за полтора часа на моцике в 7 утра в воскресенье, когда нету траффика Доменные апдейты распостраняются быстро-быстро Я думал это уже везде так. Действительно, во вселенских масштабах это будет медленно, мда-с.
Извиняй, линк положить не могу, чтобы посмотреть куда оно там потом покажет Такое случалось всего пару раз, каждый раз большая разборка что и пачиму, и Как Же Вы Допустили?!