а вот тезис "нджинкс неуязвим к slow-get" - немного слишком смел, имхо.

Ну так речь о конфигурации.

от того, что ты покрутишь цифры и у тебя вместо 100к коннектов будет 10М - кардинально ничего не изменится. оно все равно валится.

Это не сервер уязвим, а администратор - олень

от того, что ты покрутишь цифры и у тебя вместо 100к коннектов будет 10М - кардинально ничего не изменится. оно все равно валится.

Ну, давай различать просто коннект и честный http get

давай различать. будет 10М клиентов, тянущих по 1 байту в секунду.

А не кто не подскажет, где есть дешевые сервера с большим стораджем?

В смысле, дешевле чем в Hetzner

дешевле чем в хецнер скорее всего нет

только свое коло из говна и палок, и то не факт

давай различать. будет 10М клиентов, тянущих по 1 байту в секунду.

Ну 10млн - это ни разу не проблема

ох ё. мне кажется, мы не понимаем друг друга. я говорю тебе лишь о том, что ты цифры покрутишь, а атака вырастет. и все равно сожрет все сокеты, которые у тебя разрешено открывать нджинксу.

относительно интересный тредик: https://forum.nginx.org/read.php?21,220931,220931#msg-220931 , вангую, что ты читал и им вдохновлялся.

ох ё. мне кажется, мы не понимаем друг друга. я говорю тебе лишь о том, что ты цифры покрутишь, а атака вырастет. и все равно сожрет все сокеты, которые у тебя разрешено открывать нджинксу.

Да блин, ну как сожрет? Сокет - это копейки на фоне его буфера в ядре

мм (посмотрел на 512 гб памяти в сервере). буферов тоже хватит.

А не кто не подскажет, где есть дешевые сервера с большим стораджем?

OVH там есть кастомизированные серваки , можно кучу дисков напихать

ну, раньше можно было

ох ё. мне кажется, мы не понимаем друг друга. я говорю тебе лишь о том, что ты цифры покрутишь, а атака вырастет. и все равно сожрет все сокеты, которые у тебя разрешено открывать нджинксу.

Я пытаюсь донести мысль, что любой DoS - это вопрос ресурсов нападающего и атакуемого.

факт

Чтобы организовать slow read с 10 млн коннектов надо очень сильно заморочиться

OVH там есть кастомизированные серваки , можно кучу дисков напихать

Не, все равно дорого. Мне дорого все что больше 50 баксов )

При этом, все это срубается на атакуемой стороне крайне просто рейт-лимитами

Не, все равно дорого. Мне дорого все что больше 50 баксов )

попробуй soyoustart, но не жди премиум поддержки

Я сам себе поддержка )

Ща гляну у них че есть, спасибо

у меня есть с ними пара проектов, в целом всё хорошо, могу ответить на вопросы в привате

При этом, все это срубается на атакуемой стороне крайне просто рейт-лимитами

limit_conn?

на сюс не будет винтов больше чем на хецнере за 50 баксов

client_body_timeout client_header_timeout

и что будем ставить? 10ms?

поставим 1s даже - отрубим заметную часть мобилок. ставим 2s и имеем клиентов, которые тащат 1 байт в секунду

серебрянной пули нет, включать по ситуации

оченьь редко когда слоу рид приходит большими партиями

обычно ими школота балуется

я, конечно, тоже согласен, что тезис "есть неподверженные этому веб-сервера" не совсем верен

ну и рубится спокойно лимитами на коннекты с одного айпи )

оченьь редко когда слоу рид приходит большими партиями

udp-флуд приходит на 100 гбит тоже редко. но настолько, сука, метко...

да фигня

чаще чем слоу рид хоть какой-то серьезный ботнетом в больше чем 20-100 машин

если на бордере не порубил - то до тебя запросы даже не дойдут. а сервер будет себя хорошо чувствовать :)

ну и этот слоу рид обычно идет в тыщу потоков с айпи, и тут же убиваются лимитами

а там по вкусу в бан )

кстати. https://github.com/opendp/dpdk-nginx использовал кто-нибудь?

раз уж пошла такая пьянка.

ну короче чтобы слоу рид был успешен надо очень большой ботнет. Атака чутка недооценена, но может кто-то и вспомнит про нее скоро

особенно с учетом последних ботнетов на устройствах видеонаблюдения или что там шумело недавно

ну короче чтобы слоу рид был успешен надо очень большой ботнет. Атака чутка недооценена, но может кто-то и вспомнит про нее скоро

ну еще чуть больше IoT'а и вполне возродится

да, посмотрим, с этими атаками никогда скучно не бывает )

я вот все жду когда этот ботнет либо в паблик утечет, либо просто к нам приедет, любопытно

Ну чо, тогда наверное надо брать обычные серваки в Hetzner и сетапить их без рейда )

Ограничение на файловые дескрипторы

Кстати, поможет ли новая фича против этой хуйни

?

Ща

https://m.habrahabr.ru/post/260669/

Я вот про это

нет, оно со слоугетом никак не этосамое

Ясн

limit_conn?

Да даже так

я вот все жду когда этот ботнет либо в паблик утечет, либо просто к нам приедет, любопытно

чем дальше тем больше будут их собирать.

китайского говна полно

а там секьюрити на высоте, да

ну китай вообще по умолчанию можно вырезать из траффика :)

ну китай вообще по умолчанию можно вырезать из траффика :)

дык железки китайцев продают в европе, сша, россии

udp-флуд приходит на 100 гбит тоже редко. но настолько, сука, метко...

Ну с атакой на полосу понятно что делать.

а

ну китай вообще по умолчанию можно вырезать из траффика :)

Вся проблема в том, что этот Китай по всему миру

а там дыра на дыре и дырой погоняет

ERROR: S client not available

@v2nek я долго буду помнить когда копался в какой-то китайской ip камере, в которой все контролировалось софтиной на плюсах которая на бедном 400МГц процессоре спавнила несколько десятков тредов. А еще ей можно было память попортить если в настройках покопаться

я вот все жду когда этот ботнет либо в паблик утечет, либо просто к нам приедет, любопытно

К нам - это куда?

в смысле настроить через морду параметры так, чтобы автоматические фоточки переписывали память процесса по чуть-чуть

ну на кого-нибудь из клиентов

а еще имея ссш на эту поделку можно было редактировав файлик первода вызвать сегфолты тоже...

я, конечно, тоже согласен, что тезис "есть неподверженные этому веб-сервера" не совсем верен

Если настройками можно получить эффект при котором для эффективной атаки нужны совершенно неразумные ресурсы - сервер и правда не уязвим.

Если настройками можно получить эффект при котором для эффективной атаки нужны совершенно неразумные ресурсы - сервер и правда не уязвим.

"на практике достаточно устойчив".

:)

Если настройками можно получить эффект при котором для эффективной атаки нужны совершенно неразумные ресурсы - сервер и правда не уязвим.

А если взять несколько таких серверов... Ух

А то так можно дойти до обсуждения что "если атакующий имеет 2 млрд адресов, то он вас задосит"

А то так можно дойти до обсуждения что "если атакующий имеет 2 млрд адресов, то он вас задосит"

ipv6 никто не отменял

/photo_debilnih_ptic

/photo_debilnih_ptic

А то так можно дойти до обсуждения что "если атакующий имеет 2 млрд адресов, то он вас задосит"

Все дойдет до сервиса глобального обнаружения ддос в этих ваших интернетах

ipv6 никто не отменял

Это теория

Все дойдет до сервиса глобального обнаружения ддос в этих ваших интернетах

Угу

Хотя, с v6 тоже все просто: ты видишь что паразитный трафик льется из какой-то конкретной подсети и просто фильтруешь ее.

Мне одному кажется, что проблему ддоса надо решать на уровне магистрали?

Мне одному кажется, что проблему ддоса надо решать на уровне магистрали?

это всем кажется, но не все магистрали умеют это решать

ky

как относишься к заббиксу?

я его не юзаю

ты настоящий?

Я неплох

неп лох?

а вот настоящий бы его юзал :(

про Apache, nginx и прочие вещи - я вижу, что вы тут спорите, но не до конца очевиден ответ на вопрос выше) с позиции перфекциониста, что лучше для нагруженного пхп проекта на Symfony/Laravel? php-fpm + nginx или что-то другое? (напомню, речь не идёт о статике, статика отдельно на другом домене и другом сервере и вообще CDN)

php-fpm+nginx всё равно будет лучшей связкой как ни крути или же есть другие решения лучше? (чтобы было не 2 контейнера, а 1)

Мне одному кажется, что проблему ддоса надо решать на уровне магистрали?

далеко не все можно пофильтровать на уровне магистрали. Ну и магистральщики не будут заниматься анализом траффика твоего приложения.

дались тебе эти контейнеры )

ставь стандартную связку и все будет хорошо