Zatim to eliminuje presne 100% problemu, co jsem tim chtel pokryt, tzn. zazdeni linky zdrojem zevnitr nasi site. Nevidim tam moc prostoru vubec nejak sahnout na sit z VPS tak, aby ji to ovlivnilo - i maximalni moznej pocet packetu za sekundu, co predstavuje 300Mbit, v pohode uroutujem.
Jedinou slabinou je ted pocet spojeni pres router, ktery je limitovany linuxovou implementaci conntracku. Nicmene conntrack na tech routerech neni nutnost, na NATovany provoz se daji koupit v pripade nutnosti dva slabsi Tilera based tiky, tyhlety multicores, to vali :)
snajpa
Sent from your iPad
On 19 Aug 2014, at 09:43, Stanislav Petr glux@glux.org wrote:
To je dle mejch zkušenosti ale řešením jen půlky problému. Ne kazdej DoS je vedeném velkejma paketama, takže je potřeba limitovat nejen datovej tok, ale i množství paketu (ve vpsadminu je vidět graf toku, ale ne paketu. Nicméně už jsem viděl DoSy na malejch pamětech, kde linka losila a na grafu provozu nebylo nic moc vidět). Prostě řešit nejen forwarding capacity, ale i switching capacity... Všechno musí bejt někde omezený, protože neomezenej HW ještě nemáme.
Dalším zajímavým DoSem (ktery snad v prostředí VF nehrozí) bylo to ze útočník objednal několik VPS u stejného poskytovatele jako byl cíl útoku a útočil "lokálně".
-- Stanislav Petr
Dne 18. 8. 2014 22:03 Pavel Snajdr snajpa@snajpa.net napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
jak jsem tu zminoval uz nekolikrat, problemy s vyhlcenim linky jedinou VPS se zacaly kupit, typicky jde o situaci, kdy si clen nepohlida zabezpeceni svoji VPS, nejaky automaticky skener ji prolomi a pouziva jako odpalovou plochu pro dalsi utoky.
Nejjednodussim a zaroven nejucinnejsim resenim je omezit maximalni sirku pasma, kterou muze jednotliva VPS vyuzit. Vzhledem k tomu, ze aktualni konfigurace nasi linky nam dava 1 Gbit do NIXu, 500 Mbit do SIXu (Slovensko) a 500 Mbit do zbytku sveta, prijde mi jako nejrozumejsi tu hranici stanovit na 300 Mbit up/down per VPS.
Technicky je shaper realizovany tc+htb+pfifo, funkcionalita je implementovana primo ve vpsAdminu.
Doufam, ze to nikdo nevnima jako "utahovani opasku", urcite neni cilem zacit omezovat prostredky, ktere jsou clenum dostupne. Kdyby se tomu shapingu dalo vyhnout, resili bychom to jinak. Ale v situaci, kdy jsme diky tem problemum meli vypadek linky i trikrat do tydne, mne osobne lepsi a ucinnejsi reseni nenapadlo.
S tim, jak budeme postupne navysovat kapacitu linky jak to bude potreba, prijde i moznost tenhle limit zvednout - jelikoz jedinym jeho ucelem je nedovolit jedne konkretni VPS vyhltit celou linku (at uz do Internetu nebo k jednomu hw stroji).
Dik za pochopeni.
- -snajpa
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlPyXCEACgkQMBKdi9lkZ6plKAD/TAhjmOd8zheoxbPl8Wo73gz5 YwDfE2yyDT4Eil8aFcAA/Rc3oBi6B2Vw4HORJpeCprcnGL9iBl2j3Xu+sBznJe/9 =t+eF -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Pavel Snajdr