19 Aug
2014
19 Aug
'14
8:39 a.m.
Zatim to eliminuje presne 100% problemu, co jsem tim chtel pokryt, tzn. zazdeni linky
zdrojem zevnitr nasi site. Nevidim tam moc prostoru vubec nejak sahnout na sit z VPS tak,
aby ji to ovlivnilo - i maximalni moznej pocet packetu za sekundu, co predstavuje 300Mbit,
v pohode uroutujem.
Jedinou slabinou je ted pocet spojeni pres router, ktery je limitovany linuxovou
implementaci conntracku. Nicmene conntrack na tech routerech neni nutnost, na NATovany
provoz se daji koupit v pripade nutnosti dva slabsi Tilera based tiky, tyhlety multicores,
to vali :)
snajpa
Sent from your iPad
On 19 Aug 2014, at 09:43, Stanislav Petr
<glux(a)glux.org> wrote:
To je dle mejch zkušenosti ale řešením jen půlky problému. Ne kazdej DoS je vedeném
velkejma paketama, takže je potřeba limitovat nejen datovej tok, ale i množství paketu (ve
vpsadminu je vidět graf toku, ale ne paketu. Nicméně už jsem viděl DoSy na malejch
pamětech, kde linka losila a na grafu provozu nebylo nic moc vidět). Prostě řešit nejen
forwarding capacity, ale i switching capacity... Všechno musí bejt někde omezený, protože
neomezenej HW ještě nemáme.
Dalším zajímavým DoSem (ktery snad v prostředí VF nehrozí) bylo to ze útočník objednal
několik VPS u stejného poskytovatele jako byl cíl útoku a útočil "lokálně".
--
Stanislav Petr
Dne 18. 8. 2014 22:03 Pavel Snajdr <snajpa(a)snajpa.net> napsal(a):
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Ahojte,
>
> jak jsem tu zminoval uz nekolikrat, problemy s vyhlcenim linky jedinou
> VPS se zacaly kupit, typicky jde o situaci, kdy si clen nepohlida
> zabezpeceni svoji VPS, nejaky automaticky skener ji prolomi a pouziva
> jako odpalovou plochu pro dalsi utoky.
>
> Nejjednodussim a zaroven nejucinnejsim resenim je omezit maximalni
> sirku pasma, kterou muze jednotliva VPS vyuzit. Vzhledem k tomu, ze
> aktualni konfigurace nasi linky nam dava 1 Gbit do NIXu, 500 Mbit do
> SIXu (Slovensko) a 500 Mbit do zbytku sveta, prijde mi jako
> nejrozumejsi tu hranici stanovit na 300 Mbit up/down per VPS.
>
> Technicky je shaper realizovany tc+htb+pfifo, funkcionalita je
> implementovana primo ve vpsAdminu.
>
> Doufam, ze to nikdo nevnima jako "utahovani opasku", urcite neni cilem
> zacit omezovat prostredky, ktere jsou clenum dostupne. Kdyby se tomu
> shapingu dalo vyhnout, resili bychom to jinak.
> Ale v situaci, kdy jsme diky tem problemum meli vypadek linky i
> trikrat do tydne, mne osobne lepsi a ucinnejsi reseni nenapadlo.
>
> S tim, jak budeme postupne navysovat kapacitu linky jak to bude
> potreba, prijde i moznost tenhle limit zvednout - jelikoz jedinym jeho
> ucelem je nedovolit jedne konkretni VPS vyhltit celou linku (at uz do
> Internetu nebo k jednomu hw stroji).
>
> Dik za pochopeni.
>
> - -snajpa
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1
>
> iF4EAREIAAYFAlPyXCEACgkQMBKdi9lkZ6plKAD/TAhjmOd8zheoxbPl8Wo73gz5
> YwDfE2yyDT4Eil8aFcAA/Rc3oBi6B2Vw4HORJpeCprcnGL9iBl2j3Xu+sBznJe/9
> =t+eF
> -----END PGP SIGNATURE-----
>
_______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list