Anonymous
и вот этот hls кеширует cdn.
Evgeniy
ZAQ!xsw2
Alexander
О. Пароли в чяте
Stanislav
транскодит ядро из мвбарного мультикаста на профили, а потом пэкэджер режет в hls и вериматриксом его, вериматриксом.
а что за пэкэджер можно поподробнее?)
Anonymous
ну классическая железяка, которая берёт мутикаст по профилям и нарезает его в hls.
Anonymous
это ж типичная ott платформа для tv.
Andrei
keepass
Anonymous
у pwgen есть проблема.
Serge
https://github.com/danielmiessler/SecLists/pull/155
Anonymous
оно генерируют несемантичные пароли, которые тяжко запоминать.
Anonymous
я до сих пор помню все пароли, которые придумывал :)
Serge
Это очень тяжелое бремя :D
Anonymous
а вот от pwgen только пару, и то тех, которые получились с попытки 5, чтобы звучали и декомпозировались на составляющие.
Stanislav
ну классическая железяка, которая берёт мутикаст по профилям и нарезает его в hls.
эх, я думал опен сорс софтина для стриминга
Anonymous
хах.
Anonymous
люди на этом деньги получают, а вы там open source хотите.
Anonymous
большинство таких технологий за патентами.
Anonymous
и попытка сделать аналог резко встречает судебные иски.
Stanislav
не, ну есть бесплатные для стриминга http-mpeg. типа msd.
Stanislav
он круто жует мультикаст и отдает 10g даже на древнем говне. но яблочные устройства такое не хотят жрать 😁
Stanislav
подавай hls
Anonymous
можно и ffmpeg + nginx откопать.
Anonymous
только толку?
Stanislav
мы пытались на ffmpeg + nginx с плагином - но оно что-то вообще нестабильно работающее
Anonymous
мы пытались на ffmpeg + nginx с плагином - но оно что-то вообще нестабильно работающее
Ух, это жесть была, когда мы это пытались
Anonymous
был кейс, в котором ffmpeg + nginx стабильно вещает уже почти три года камеры одном из городов россии по программе безопасный двор.
Anonymous
А плагин mod_smoothstreaming?
Anonymous
нет, старьё какое-то было.
Anonymous
которое потом утащили в nginx plus.
Anonymous
Хы
Anonymous
и перестали обновлять в open source.
Anonymous
а в другом кейсе уже лет 10 как wowza делает примерно тоже самое, но для безопасного города.
Anonymous
Ну вауза же
Anonymous
а ещё есть пример в южном городе рф, где развернули безопасный город за 100500 хуллиардов на nice и не осилил до конца запустить.
Anonymous
так и не работает практически.
Anonymous
вот он, кажется.
Anonymous
Народ, а кто на уровне ISP кэширующий DNS поднимал? там TTL как-то снизу ограничивается?
Andrei
Anonymous
зачем ограничивать снизу? ну чтоб запросов меньше было...
Stanislav
и там проблема даже больше в самом ffmpeg была, он тупо зависал, при этом процесс сам висел.
Anonymous
ух ты. он снова развивается. https://github.com/arut/nginx-rtmp-module/commits/master
Anonymous
Народ, а кто на уровне ISP кэширующий DNS поднимал? там TTL как-то снизу ограничивается?
я честно переписывал у всего кластера min ttl в 600
Andrei
зачем ограничивать снизу? ну чтоб запросов меньше было...
а как связан TTL с количеством запросов?
Anonymous
и там проблема даже больше в самом ffmpeg была, он тупо зависал, при этом процесс сам висел.
Да, но это решается супервизором
Anonymous
да и до сих пор переписывается, наверно :)
Andrei
в смысле чтобы в кэше подольше лежали ответы?
Anonymous
да
Anonymous
чтобы ботнеты страдали со своими мелкоживущим ttl! :)
Andrei
я бы поставил dnsdist 🙂 (за которым unbound-ы и pdns-recursor-ы)
Anonymous
unbound же.
Andrei
хотя в ISP ставил и просто unbound-ы пополам с pdns-recursor'ами
Anonymous
с ПРАВИЛЬНОЙ конфигурацией.
Anonymous
и на самих резолверах рекурсивных ещё через СПЕЦИАЛЬНЫЕ утилиты ограничивал количество запросов per ip.
Anonymous
чтобы ботнеты блокировались и не пытались завалить рекурсор с помощью 100% всех vcpu, которые использовал unbound.
Anonymous
и на самих резолверах рекурсивных ещё через СПЕЦИАЛЬНЫЕ утилиты ограничивал количество запросов per ip.
Совсем магия делать это через netfilter match и ipset :)
Andrei
в dnsdist есть уже фичи по ограничениям и в частности с переводом в tcp тех кто много запросов шлет
Anonymous
примерно так, да :)
Andrei
типа
addAction(MaxQPSIPRule(10, 32, 64), TCAction())
addAction(AndRule{QTypeRule(dnsdist.ANY), TCPRule(false)}, TCAction())
Anonymous
-A INPUT -p udp -m udp —dport 53 -m hashlimit —hashlimit-above 60/sec —hashlimit-burst 100 —hashlimit-mode srcip —hashlimit-name DNS60INSEC —hashlimit-htable-max 1048576 —hashlimit-htable-gcinterval 10000 —hashlimit-htable-expire 180000 -m comment —comment "DNS NetFilter hashlimit 60 request in second" -j DROP
-A INPUT -p udp -m udp —dport 53 -m hashlimit —hashlimit-above 1000/min —hashlimit-mode srcip —hashlimit-name DNS1000INMIN —hashlimit-htable-max 1048576 —hashlimit-htable-gcinterval 10000 —hashlimit-htable-expire 600000 -m comment —comment "DNS NetFilter hashlimit 1000 request in minute" -j DROP
Anonymous
как-то так было.
Andrei
еще есть и темы на дроп DDoS-ов в ядре
Anonymous
значения крутились через морду foreman для СПЕЦИАЛЬНОГО модуля puppet.
Anonymous
Ух...))
Andrei
https://ds9a.nl/tmp/dnsdist-md/dnsdist-diagrams.md.html
Anonymous
работало на ура на 80+ ресолверов по россии-матушке.
Anonymous
значения крутились через морду foreman для СПЕЦИАЛЬНОГО модуля puppet.
А у нас такое не юзают
Anonymous
да и до сих пор работает, видимо.
Andrei
(9 Kernel based eBPF filtering)
Anonymous
Но да, паппет прикольно
Anonymous
А Форман не оверкилл?
Anonymous
У меня оно работает для рабочих станций)
Anonymous
foreman просто необходим при puppet master :)
Anonymous
а. ну у меня было 1к+ VM...
Anonymous
и ещё сколько-то там bare metal.
Anonymous
Но не хочу форман, мне проще на таких масштабах вручную закоммитить
Anonymous
Видел прикольную штуку