Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[quote=zlyZwierz]Ma ;)
Paw. Je.
Data rejestracji:
Marzec 18, 2014, 10:32:07
Czas lokalny:
Marzec 01, 2016, 23:34:31
Ostatnio aktywny:
Kwiecień 29, 2015, 20:23:31
Wątek: Wykrywanie DDOSow na MT (Przeczytany 1212 razy)[/quote]
hmm, czyśbyśmy się znali gdzieś prywatnie?
Offline
Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)
Offline
[quote=zlyZwierz]Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)[/quote]
:) nie no może na jakimś kike albo coś :) może by się przydało
Offline
[quote=Nicram][quote=zlyZwierz]Yh, może nie piłem z Tobą wódki, ale potrafię połączyć kropki, tym bardziej, że pisujemy/czytujemy listę LMS, a jako moderator działu sieci wiem z jakiego IP piszesz ;)[/quote]
:) nie no może na jakimś kike albo coś :) może by się przydało[/quote]
Hmm... najbliższa okazja, żeby się upodlić to https://www.facebook.com/events/1133835183315544/ ;)
Offline
[quote=zlyZwierz]Hmm... najbliższa okazja, żeby się upodlić to https://www.facebook.com/events/1133835183315544/ ;)[/quote]
Nie wiem czy na Inet pojedziemy :/ na 100% na Kike też jakoś kwiecień, nie wiem dokładnie bo przez atak na adweb kikeevents nie działa :/
też chyba Cię kojarzę z listy lms P.K. jak mi się kojarzy. ale dość prywaty, hehe
Offline
;)
Wracając do tematu:
Takie wartości ruchu są spokojnie do ogarnięcia na linuxie:
http://imgur.com/a/BsAii
model name : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)
Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.
Offline
[quote=zlyZwierz];)
Wracając do tematu:
Takie wartości ruchu są spokojnie do ogarnięcia na linuxie:
http://imgur.com/a/BsAii
model name : Intel(R) Xeon(R) CPU E5-1620 v2 @ 3.70GHz
02:00.0 Ethernet controller: Intel Corporation 82599EB 10-Gigabit SFI/SFP+ Network Connection (rev 01)
Kolejek brak, tylko NAT i FIREWALL+BGP+OSPF
Kolejki na rozproszonych koncentratorach.[/quote]
ja na 100% pewien nie jestem, że to linuch. fakt, jak podczas ataku odpaliłem ntopa to już nie dało się z niego za bardzo korzystać.
jest też prawdopodobne, że degradacja przychodziła właśnie od operatora, który to robi policy na swoich interfejsach a przy ataku tak nam się to objawiało. poza tym, sieciówki są 1Gb też ograniczone pps.
fakt faktem, że Cisco i tej klasy routery są skonstruowane do routingu i do niczego więcej. łatwiej na nim odpoalić NetFlow czy chociażby mirror portu a na linuxie już sobie to obrabiać itd. w tej chwili przesiadka jak dla mnie nie ma znaczenia bo uczyłem się na cisco, grzebałem w quagga i wracam do cisco jako brzegówka.
Tu też nie chodzi, że linux powinien sobie poradzić itd. generalnie po woli chcemy dążyć do takiego stopnia by "uruchomić i zapomnieć", może nie do końca zapomnieć ale w każdym bądź razie spać spokojnie i nie myśląc o tym czy się coś wykrzaczy czy nie.
Ostatnio edytowany przez Nicram (2016-03-01 23:59:46)
Offline
[quote=zlyZwierz]Z podobną intencją leży mi na biurku Redback SE600 ;)
Tylko jakoś veny brak :)[/quote]
:)
generalnie też moglibyśmy zakupić sieciówki 10G jakieś lepsze 1G itd. aczkolwiek kwota którą by się wydało była by nie wiele mniejsza niż zakup Cisco na ebay. Fakt, trzeba dokupić wkładki itd. nie mniej jednak patrząc w przyszłość wydaje się to być lepszą inwestycją niż ciągłą wymiana hardware dla linuxa itd.
Ostatnio edytowany przez Nicram (2016-03-02 00:09:37)
Offline
Nie wiem - U nas koszt SE600 przewyższa wartość pozostałego sprzętu w serwerowni, a póki co leży na półce, a linuxy robią brudną robotę.
Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)
Z ciekawości - co za ciskacza kupujecie ?
Offline
[quote=zlyZwierz]Nie wiem - U nas koszt SE600 przewyższa wartość pozostałego sprzętu w serwerowni, a póki co leży na półce, a linuxy robią brudną robotę.
Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)
Z ciekawości - co za ciskacza kupujecie ?[/quote]
zysk nie tylko taki, że śpisz spokojnie ale i jeszcze energia. Co prawda pożera to trochę prądu ale i tak sporo mniej niż 4-5 innych serwerów
Offline
Jak już go wdrożymy, to pewnie wypadnie kilka maszyn ale jedyny zysk widzę tutaj w braku potrzeby pilnowania go :)[/quote]
Zaryzykuję stwierdzenie, że dobrze skonfigurowany serwer znacznie lepiej spełnia ten warunek, choćby dlatego, ze jakby mu brakowało RAM, to można wsadzić kość, a jak mu zdechnie jedna sieciówka, to zawsze można wyjąć z szuflady zapasową.
Cisco jest fajne, ale serwisowanie takiego routera jest znacznie droższe, niż serwera, a jak np zabraknie mu pamięci, to ogarnąć to dużo trudniej, aniżeli w serwerze, gdzie możesz od ręki wsadzić 8 lub 16G.
Ku przestrodze:
http://lipowski.org/isp/bgp-cisco-512k/
Nawet mój Gentuś kiedyś został na tydzień włączony w domu, i po tygodniu dalej chodził, był cały czas dostępny w necie, jak każdy serwer, chociaż serwerem nie jest, a net ma po pppoe z dynamicznym IP.
Brak potrzeby pilnowania, to jest podstawowa cecha każdego fachowo skonfigurowanego sprzętu i systemu, i Cisco czy Juniper wcale tutaj się nie wyróżniają, czasami nawet wręcz przeciwnie, (czego dowodem może być mój ISP i ich nowa zabawka bazująca na JunosOS).
Serwer, którego "trzeba pilnować" nadaje się tylko "na żyletki", a nie do normalnego użytku.
PozdroOstatnio edytowany przez Jacekalex (2016-03-05 10:14:25)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Z tym cisco 512k to stara bajka, stare routery z małą ilością pamięci miały ten problem.
jedno i drugie rozwiązanie ma swoje zady i walety.
Offline
[quote=Nicram]Z tym cisco 512k to stara bajka, stare routery z małą ilością pamięci miały ten problem.
jedno i drugie rozwiązanie ma swoje zady i walety.[/quote]
Każdy router kiedyś będzie stary, tak to już jest.
Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.
W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?
Po co wybór OS?
Żeby łatwo wybrnąć z takich "kfiatków":
https://www.nanog.org/mailinglist/mailarchives/old_archive/2004-04/msg00736.html
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
Pozdro
Ostatnio edytowany przez Jacekalex (2016-03-02 21:39:57)
Offline
[quote=Jacekalex]Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.
W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?[/quote]
Akurat taka dyskusja jest dyskusją o wyższości świąt bożego narodzenia nad świętami wielkanocy :)
Gdyby tak było kolorowo jak piszesz, to po co taki polkomtel czy inny duży operator wydawałby miliony na taki sprzęt zamiast zainwestować w hardware i kilka linuxów/unixów na tym?
[quote=Jacekalex]Po co wybór OS?
Żeby łatwo wybrnąć z takich "kfiatków":
https://www.nanog.org/mailinglist/mailarchives/old_archive/2004-04/msg00736.html
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
Pozdro[/quote]
Pierwszy przypadek sprzed 12 lat, drugi całkiem świeży. osobiście nie znam junipera więc nie wypowiem się na ten temat.
Offline
[quote=Nicram][quote=Jacekalex]Dla mnie sprzęt z powszechnie dostępnych rzeczy ma tą przewagę, że jest jak plastelina, można go zawsze dostosować do wymagań stosunkowo niewielkim kosztem, nie wspominając o łatwości, z jaką można wymieniać w nim systemy operacyjne w przypadku jakichś kłopotów.
W którym routerze CISCO możesz mieć FreeBSD, OpenBSD i dwa różne Linuxy,
i bootować wybierając OS w grubie?[/quote]
Akurat taka dyskusja jest dyskusją o wyższości świąt bożego narodzenia nad świętami wielkanocy :)
Gdyby tak było kolorowo jak piszesz, to po co taki polkomtel czy inny duży operator wydawałby miliony na taki sprzęt zamiast zainwestować w hardware i kilka linuxów/unixów na tym?
[quote=Jacekalex]Po co wybór OS?
Żeby łatwo wybrnąć z takich "kfiatków":
https://www.nanog.org/mailinglist/mailarchives/old_archive/2004-04/msg00736.html
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
Pozdro[/quote]
Pierwszy przypadek sprzed 12 lat, drugi całkiem świeży. osobiście nie znam junipera więc nie wypowiem się na ten temat.[/quote]
To już zależy od skali.
Duży operator, który ma np 50Gbit transferu na jednym routerze, musi ładować się w specjalne dedykowane urządzenia (innego wyjścia po prostu nie ma),
ale ma też kasę na sprzęt i serwis
Jeśli natomiast masz maks 1-4Gbity/s to masz spory wybór, bo sam możesz poskładać sprzęt, który to uciągnie, nie ma z tym problemu.
Pozdro
Offline
[quote=Jacekalex]To już zależy od skali.
Duży operator, który ma np 50Gbit transferu na jednym routerze, musi ładować się w specjalne dedykowane urządzenia (innego wyjścia po prostu nie ma),
ale ma też kasę na sprzęt i serwis
Jeśli natomiast masz maks 1-4Gbity/s to masz spory wybór, bo sam możesz poskładać sprzęt, który to uciągnie, nie ma z tym problemu.
Pozdro[/quote]
Co prawda to prawda, więc sam przyznajesz, że Cisco jest do tego dedykowanym sprzętem :)
Mój obecny sprzęt niestety zdycha. niby ten serwerek nie jest taki najgorszy. dziś boss u obu operatorów zwiększył porty bez cięcia czyli 2x po 1G z myślą, że jak przyjdzie DDoS to się to rozłołży. no i obróciło się to przeciw nam. o 19 mieliśmy DDoSa i jak serwerek dostał tyle ruchu to już nawet na niego zalogować się nie mogłem, musiałem udać się do serwerowni by puknąć go wyłącznikiem. wstał ładnie szybko i jak się sesja bgp zestawiała ruch nadal i serwer wisi :/
jaki wolumen był nie wiem, bo cacti już nie czytało :/ akurat te sieciówki z operatorami powinny to wytrzymać, są 1G ze zwiększoną ilością pakietów, niestety obróciło się to przeciw nam.
normalnego ruchu to by i z 10x po 1G przerzucił ale na DDoSie się wyłożył.
Offline
Efekt skali.
Do takiego serwera od razu bym kupił karty 10G, a sprzet dedykowany jest tam, gdzie karty 10G nie dadzą rady
Tylko tyle, i aż tyle.
Tu jest ograniczenie.
Czyli do granicy wyznaczonej wydajnością karty 10G lepszy jest serwer, gdzie masz wybór OS, powyżej jedyną opcją jest sprzęt dedykowany, jak Cisco czy Juniper.
Zdaje mi się, że tutaj się zgadzamy? Prawda?
Ostatnio edytowany przez Jacekalex (2016-03-03 17:36:46)
Offline
[quote=Jacekalex]Efekt skali.
Do takiego serwera od razu bym kupił karty 10G, a sprzet dedykowany jest tam, gdzie karty 10G nie dadzą rady
Tylko tyle, i aż tyle.
Tu jest ograniczenie.
Czyli do granicy wyznaczonej wydajnścią karty 10G lepszy jest serwer, gdzie masz wybór OS, powyżej jedyną opcją jest sprzęt dedykowany, jak Cisco czy Juniper.
Zdaje mi się, że tutaj się zgadzamy? Prawda?[/quote]
Tu muszę się z Tobą zgodzić, dobry hardware, dobre sieciówki i tak, masz rację wyda. Z tym, że zauważ że dobre sieciówki 10G nie kosztują mało :/
Offline
Nie efekt skali, tylko efekt tego, że procek w tym jego riuterze ma blisko 10 lat :)
http://ark.intel.com/compare/88176,28032
Normalny współczesny komp z normalną kartą 10G nawet by się nie spocił.
Po drugie, wszystko upakowane na jednej maszynce - BGP NATy kolejki, jak maszyna dostaje w dupe to "nie ma niczego".
No i karty 10G też nie kosztują Bóg wie ile.
http://cdr.pl/p3113,lr-link-lrec9802bf-2sfp-intel-82599-10gbps-pcie-x8-dual-sfp-fiber-nic-server-adapter.html
http://allegro.pl/intel-dell-x520-da2-10gbps-dual-port-10gbe-krotki-i5982997272.html
http://allegro.pl/intel-x520-da2-dual-sfp-u810n-vfvgr-xyt17-2094n-i5968523045.html
Offline
[quote="Nicram"]Z tym, że zauważ że dobre sieciówki 10G nie kosztują mało :/[/quote]
A router Cisco to za czapkę śliwek sprzedają?
Ja w robocie kiedyś dawno widziałem takie cudo na chyba (podobno, faktury nie widziałem) wile tysi, które po burzy nadawało się na złom, bo kochany ISP
o piorunochronach chyba nie słyszał, a to jeszcze szło po kablu.
Na nowego grata nie było, i stanęło na normalnym kompie z profesjonalnym systemem ...... Ubuntu, i kartami Intel 1Gbit.
I nawet następne dwa latka starczało, aż do wymiany na światłowodę.
Także do dedykowanego sprzętu w miejscach, gdzie takowy nie jest niezbędnie konieczny i niezastępowalny, mam nadzwyczajnie duży dystans. XD
[b]@zlyZwierz[/b]
Określenia "efekt skali" użyłem do porównania "wielkiej firmy z wielką rurą 1Gbit" z takim malutkim mikro-operatorem jak np Polkomtel. XD
Podejrzewam, że gdybym sprawdził np w Netii, to tam też sieciówki 10G by były za małe. :D
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2016-03-03 17:51:21)
Offline
[quote=zlyZwierz]A'propos DDoS - http://imgur.com/a/xNsBp
Wczorajszy ddos, fucks given - zero.
;)[/quote]
to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek
Offline
to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek[/quote]
A ci operatorzy nie mają jakichś procedur bezpieczeństwa?
Nawet taka serwerownia jak OVH mogła się zabrać poważnie za ryzyko DDOS,
to wielcy operatorzy też łaski nie robią.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=Jacekalex]
to tobie zebrało 3G, jak ja dowiedziałem się od operatorów to to szło do nas po 20G, czyli do serwka dochodziło 40G przy ok 2Mpps i to zabiło serwerek[/quote]
A ci operatorzy nie mają jakichś procedur bezpieczeństwa?
Nawet taka serwerownia jak OVH mogła się zabrać poważnie za ryzyko DDOS,
to wielcy operatorzy też łaski nie robią.[/quote]
Jeden z nich wspiera blackhole ale jak się tłumaczy "nie ingerują w ruch klienta", drugi ma DDoS ale każe sobie za niego słono płacić, nawet za "podstawową ochronę". Przez dwa lata "takiej ochrony" możesz kupić takiego używanego gsra i samemu sobie zrobić mechanizm blackhole.
Offline
Time (s) | Query |
---|---|
0.00014 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00156 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.239.145' WHERE u.id=1 |
0.00074 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.15.239.145', 1732744984) |
0.00071 | SELECT * FROM punbb_online WHERE logged<1732744684 |
0.00066 | DELETE FROM punbb_online WHERE ident='18.119.122.140' |
0.00086 | DELETE FROM punbb_online WHERE ident='18.218.2.191' |
0.00066 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28310 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00386 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28310 ORDER BY p.id LIMIT 25,25 |
0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28310 |
Total query time: 0.01022 s |