О ЖЖ, СУПе и власть имущих - взгляд технаря

[beldmit]

Читать здесь.

http://dbg.livejournal.com/63762.html#cutid1
http://dbg.livejournal.com/64462.html#cutid1
http://dbg.livejournal.com/64577.html#cutid1

То, насколько хватает моего знания веб-технологий и TCP/IP (второе - очень мало), не позволяет оспорить выводы автора.

Возникает, впрочем, более интересный момент: кто учинил эту DDoS-атаку? Тут теоретически для всякой сволочи от власти места больше, но скорее всего ботнет-дело рук каких-то энтузиастов из низового звена. Что я о них думаю, впрочем, в приличном обществе вслух все равно не говорят.

Comments

[stas]

Потому что фильтр стоит сильно раньше той части, которая понимает авторизацию. И заставить фильтр понимать, что такое пользователь и какая у него бывает авторизация - очень нетривиальная задача, к тому же имеющая потенциал свести на нет всю пользу от фильтрации - задача фильтра быстро выбросить мусор, а если он будет каждый запрос сверять с базой данных авторизованых пользователей, то он сдохнет.

[alexkuklin.livejournal.com]

да ну?
как минимум, ip-based white-list можно сделать быстро и эффективно

[stas]

Это если нужная железка поддерживает ip white list размером эдак в миллион штук, с задаваемым извне expiry time и задаваемым извне же списком адресов.

[alexkuklin.livejournal.com]

а это, извините, не мои проблемы.
при таком размахе соответствующим оборудованием следует озаботиться.
задача распределения нагрузки в кластерной системе - вполне решаема.

каждый мнит себя стратегом

[stas]

Конечно не ваши. Известно, что каждый человек является экспертом в футболе, медицине, политике и вот средствах защиты от DDOS-атак.

Re: каждый мнит себя стратегом

[alexkuklin.livejournal.com]

должен, однако, заметить, что я при этом являюсь действующим админом и в мои обязанности входит защита части серверов (тех, которые представляют интерес для определенных лиц) от атак.

размах, конечно, не тот, но тем не менее :)

Re: каждый мнит себя стратегом

[stas]

Я ни на секунду не сомневаюсь, что когда вы будете админить сайт с полутора миллионами активных пользователей, несколькими тысячами хитов в секунду и сотней разных серверов - то у вас не будет никаких проблем с DDOSами.

Re: каждый мнит себя стратегом

[alexkuklin.livejournal.com]

Скорее всего будут :)

Это ж разные стороны баррикад.

Я, как пользователь, хочу получить сервис, без ограничений, в соответствии с обещанным при регистрации.
6врозь будет стараться решать все вопросы минимальными затратами, при необходимости ограничивая сервис (в рамках допустимого с их точки зрения).
Когда эти рамки оказываются более широкими, чем я (как пользователь) готов принять, у меня появляется желание задать вопросы. Чем более квалифицирован в предмете пользователь, тем сложнее от этих вопросов просто отмахнуться словами "так надо". :)

[dbg.livejournal.com]

Даже не знаю, что на это сказать.
В рамках наличных ресурсов ЖЖ справился хорошо.

[alexkuklin.livejournal.com]

// принимая как рабочую гипотезу версию о защите от DDoS (а не что-либо еще)

судя по имеющейся (косвенной пока) информации, 6врозь не озаботился применением не-технических ресурсов для решения проблемы, что imho странно

[stas]

Нетехнических это каких? В российскую милицию пожаловаться?

[alexkuklin.livejournal.com]

СУП

[stas]

Что - СУП?

[beldmit.livejournal.com]

Развей мысль.

[dimrub.livejournal.com]

Муа-ха-ха

[dbg.livejournal.com]

Вот-вот.

Даже без автоматического expiration. Потребный размер access-list'а превосходит все разумные пределы.