|
|
|
3.19, Crazy Alex (ok), 13:58, 08/07/2018 [^] [ответить] [к модератору]
| +3 +/– |
Мне тоже не нравится - слишком много текста в одном регистре, глазу плохо куски выхватывать. Ключики iptables рубят строку удобнее.
|  | |
|
4.24, KonstantinB (ok), 16:29, 08/07/2018 [^] [ответить] [к модератору]
| +/– |
С консоли - возможно (хотя дело привычки). А при редактировании nftables.conf в сколь-либо вменяемом $EDITOR, который умеет в подсветку синтаксиса, все шикарно.
|  | |
|
|
4.43, Ан (??), 20:29, 08/07/2018 [^] [ответить] [к модератору]
| –3 +/– |
В этом вашем "как надо" кто-то фаерфол использует через консольку и с целями отличными от заблочить варезной программе доступ в интернет? Для всяких роутеров там есть платные приблуды.
|  | |
|
|
|
|
|
7.58, Аноним (58), 15:06, 09/07/2018 [^] [ответить] [к модератору]
| +/– |
>простыню на пару тысяч (правил и поболее бывает)
Я стесняюсь спросить - а зачем столько? Это действительно оправдано?
|  | |
|
|
9.81, yukra (ok), 15:42, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
К тому, что crontab создаёт тебе новый файл где-то в районе /tmp. И никакого inotify там нет. "Среагирует" ОС только на ":wq" (сохранение и выход), если ты конечно не лазиешь руками мимо crontab'а
|  | |
|
|
|
|
|
|
|
|
|
|
|
|
|
6.78, нах (?), 15:05, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
> возвращаться туда - как добровольно сдаться в конц лагерь.
"некоторые ваши товарищи уже на себе почувствовали наше гуманное обращение!"
"каждому новобранцу - чистая униформа и миска каши!"
|  | |
|
|
|
|
2.12, Oleg (??), 11:44, 08/07/2018 [^] [ответить] [к модератору]
| +4 +/– |
Статья не про обработку пакетов в ядре, а про их роняние. Вариант XDP роняет пакеты раньше всех других способов, потому победил.
|  | |
|
|
2.4, Начальник (?), 10:39, 08/07/2018 [^] [ответить] [к модератору]
| +10 +/– |
Ну вот сходи к CF расскажи как ddos отбивать правильно, кто в теме понимает, что это крутые результаты, а обсирать все могут.
|  | |
2.5, Аноним (5), 10:58, 08/07/2018 [^] [ответить] [к модератору]
| +3 +/– |
Откуда вы лезете? Три первых комментария, а все неимоверно тупые и написаны типичными мамиными специалистами.
|  | |
|
|
|
5.93, чече (?), 17:57, 13/07/2018 [^] [ответить] [к модератору]
| +/– |
почему то у токсина самый дешевый акк на стрессере с NTP,BoostHTTP,методами дудоса OVH и прочим стоит всего 150 рублей в месяц,тысяч далларов не вижу
|  | |
|
|
3.33, angra (ok), 18:19, 08/07/2018 [^] [ответить] [к модератору]
| +4 +/– |
> Просто вы, как и многие другие, склонны путать DDoS и DoS.
> Второй - это когда 1000 VPS-сок
В первую очередь путаешь их ты. Второй случай это тоже DDoS, хоть и меньшего масштаба.
|  | |
|
|
1.13, Аноним (11), 11:45, 08/07/2018 [ответить] [показать ветку] [···] [к модератору]
| –1 +/– |
А это можно использовать каким-то способом для увеличения количества отправляемых пакетов?
Что в линуксе отвечает за отправку пакетов? Можно добиться снижение нагрузки системы при отправки пакетов?
|  | |
1.21, solardiz (ok), 15:00, 08/07/2018 [ответить] [показать ветку] [···] [к модератору]
| +1 +/– |
Интересно, но:
Странно, что не упомянута фильтрация средствами сетевушек Intel. "Высокий пакетрейт на x86-64: берем планку в 14,88 Mpps" от Highload Lab / Qrator, 2013 год:
https://www.slideshare.net/phdays/phd2013-lyamin-22234235
https://www.youtube.com/watch?v=mZ9yE9HvPHc&list=PLEl1NAXHTFNwvfTVurLKwpOtXzLZ
Наверное, она им не подходит из-за своей ограниченности, но упомянуть можно было бы.
А conntrack и KPTI на машинах такого предназначения лучше просто выключить полностью. Странно, если в CloudFlare это где-то не так.
|  | |
|
2.31, Аноним (17), 17:58, 08/07/2018 [^] [ответить] [к модератору]
| +/– |
> берем планку в 14,88 Mpps
Там ведь задержки большие, у CloudFlare задержки должны быть мега-низкие.
|  | |
|
3.63, Аноним (63), 20:13, 09/07/2018 [^] [ответить] [к модератору]
| +/– |
Если блокировать нужно миллионы адресов, вместо обычной таблицы можно использовать какое-нибуть дерево
|  | |
|
|
|
6.71, Vkni (ok), 07:43, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
А случайный доступ к ней на чтение дорогой (как это ни парадоксально на первый взгляд, на амортизированный доступ на запись - бесплатный).
|  | |
|
7.74, yu (??), 11:05, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
Но вот никто не запрещает ставить несколько серверов параллельно, шарить на них трафик в зависимости от адреса источника и соответственно не держать все в памяти одной железки
|  | |
|
|
|
|
5.80, нах (?), 15:09, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
> Nyet, это будет fail. Правильнее будет думать о чем-то вроде dir-24-8
ну и вот где это делать-то? В bpf? Скорее всего не получится.
А в более доступных механизмах фильтрации - и негде.
|  | |
|
|
|
2.69, Netmapguy (?), 01:18, 10/07/2018 [^] [ответить] [к модератору]
| +/– |
>фильтрация средствами сетевушек Intel
а смысл? фильтры там довольно тупые, да и если у вас там линк-агрегация и вланы - будет забавно.
|  | |
|
|
2.40, пох (?), 19:43, 08/07/2018 [^] [ответить] [к модератору]
| –1 +/– |
вечно. поскольку совершенно непонятно, какую бы корпоративную нужду оно могло бы удовлетворить.
нужды "дропать пакеты с фиксированного src с адским рейтом" у корпоративных систем - нет.
|  | |
|
3.44, Аноним (36), 20:45, 08/07/2018 [^] [ответить] [к модератору]
| +/– |
Ну не такое же глупое условие я имел в виду. Скорее говорил про сложные правила с возможной заточкой под нужды заказчика.
|  | |
|
4.48, пох (?), 23:47, 08/07/2018 [^] [ответить] [к модератору]
| –1 +/– |
> Скорее говорил про сложные правила с возможной заточкой под нужды заказчика.
дык - а это как раз и не меряет никто.
то есть вполне возможно, что сложное и под заказчика гораздо проще и эффективнее окажется делать штатными tc/iptables... в крайнем случае - дописав модуль. Реверсится, не реверсится - заказчику похрен, он платит не за это, а за тяжкий труд индусов, нанятых ляпать эти самые правила круглосуточно и без выходных.
такова бизнес-модель практически всех приличных файрволов на сегодня, включая и такие, которые сами по себе стоят чемодан деньгов, и на коленке не соберешь. (а правила писать - можешь. только что-то никто от подписки еще не отказался)
|  | |
4.50, RotarenegeD (?), 02:39, 09/07/2018 [^] [ответить] [к модератору]
| +/– |
это называется нанять аутсорсера для написания правил.. но по хорошему скорее всего придётся штатного специалиста держать всёравно..
|  | |
|
5.65, пох (?), 21:18, 09/07/2018 [^] [ответить] [к модератору]
| –1 +/– |
нет, это называется подписка на наборы правил. Существует десятки лет, в том числе для таких правил, которые вполне человекочитаемы - и ничего, платим. Потому что это не "нанять аутсорсера", а "построить сеть honeypot'ов, наладить сбор паттернов, организовать круглосуточную работу по сбору, классификации, обработке и тестированию (потому что можно ненароком и лишнего чего отрезать)".
|  | |
|
|
|
|
|
2.88, Аноним (88), 14:47, 11/07/2018 [^] [ответить] [к модератору]
| +/– |
> Могу заблокировать хоть миллиард пакетов в секунду простым выниманием кабеля.
Точно? А вдруг, при таком насыщении, они и по воздуху проскакивать будут (т.н. «пакетная дуга»)?
|  | |
|
|
|