We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Apsauga prieš atakas


oles@ovh.net
10-02-2010, 01:36 PM
Laba diena,
Šią savaitę pradėsime prieglobos apkrovos balansavimo sistemos migravimą į naują infrastruktūrą. Šiuo metu 1000gp migruota sėkmingai. Kiti planai migruos savaitės bėgyje.

Be naujos apkrovos balansavimo, taip pat testuosime apsaugą nuo atakų. Ji įdiegta į apkrovos balansavimo sistemą ir leidžia užblokuoti visus embrioninius (synflood) paketus, taip pat geriau valdyti tirų prisijungimų aktyvų laiką (timeout). Tai skirta apsisaugoti nuo jungčių išnaudojimo DDoS atakos metu. Be to, visa tai daroma prieš apkrovos balansavimą, todėl į pastarąją sistemą patenka tik tikri prisijungimai.

Įdomus dalykas (nelygu, kaip pažiūrėsite) yra tai, kad šįryt į 1000gp buvo nukreipta ataka iš 1200 IP visame pasaulyje, kurie sukūrė daugiau nei 15000 vienalaikių prisijungimų.

#sh session ipv4 dest-port 6969 | i Total Sessions
Total Sessions: 15704

Apsauga veikia ir paslauga nesutriko:

#sh session ipv4 dest-port 80 | i Total Sessions
Total Sessions: 1405

Toliau testuosime apsaugos nuo atakų sistemą. Norime pasiūlyti jums apsaugą prieš atakas, tačiau kad jums nereiktų keisti infrastruktūros. Be to, OVH galėtų pasiūlyti ugniasienę, kuri perims ataką, nufiltruos blogus paketus ir į jūsų skirtąjį serverį persiųs tik gerus. Taip pat ir jeigu neturite skirtojo serverio. Norėdami pasinaudoti apsauga, neturite nieko keisti, išskyrus domeno A lauką... Ir viskas. Konkretus pavyzdys: svetainė http://www.hadopi.fr, kuri nėra OVH ir kuri nukentėjo dėl atakų, taip pat galėtų užsisakyti IP ugniasienę pas mus ir apsaugoti savo svetainę lygiai taip pat, kaip ir OVH svetainės. Tokio tipo apsauga tampa aktyvi per 5 minutes... Paprasta, greita ir labai efektyvu.

Linkėjimai,
Octave