Pull to refresh

Comments 115

Будет прикольно, если они же сами начнут ДДосить )
Интересно, зачем тогда вообще этот безлимитный трафик и какая разница между гигабайтом паразитного и гигабайтом целевого?
Разница в том, что паразитный траф — нарушение закона о связи и отраслевых нормативных актов со всеми вытекающими для хостера. Финансово и технологически разницы нет.
Ну какие же могут быть «все вытекающие» для хостера, с которого не рассылают, а которого атакуют? Никаких.
Для атакуемого, разумеется, никаких. Вы же просили просто разницу раскрыть?

Я сразу не просёк, что сервер у вас виртуальный потому дополню: паразитный трафик и бизнес-модель оверселлинга несовместимы между собой. Попробую восстановить логику и мотивацию саппорта: в этом случае фактически досят не только вас, но и ваших соседей по физической машине. Чтобы их не подставлять, проблемную виртуальную машину отключили от интернета.

Отключение — это путь наименьшего сопротивления, в отличие от настроек всяческих дорогих железок для отражения атак, если они есть у хостера. Идеальный хостер не должен идти по такому пути, но где искать такого хостера? Я давным-давно плюнул на всё это и купил собственное оборудование под свои нужды.
Правильно настроенный пакетный фильтр способен отразить и флуд- и DDoS-атаки. Почему хостеры не занимаются настройками, а перекладывают все проблемы на клиентов — тот ещё вопрос компетентности «платного саппорта».
> Правильно настроенный пакетный фильтр способен отразить и флуд- и DDoS-атаки
ну-ну… Расскажите секрет? Просто кроме вас его никто не знает ='(
Ну, серьёзную DDoS не отразить без вовремя среагирующего человеческого фактора в лице человека, который вовремя запретит нужный IP, создась нужное правило и т.д…
А вот всякую мелочь можно побороть, хотя бы включив и настроив правильно nginx, например, с каким-нибудь модулем для апач (или nginx) для защиты от DDoS.
Такой сервер может отразить небольшие флуд и DDoS атаки.
Читал, что пишут скрипт, который анализирует недавний трафик и автоматически банят слишком злобные IP.
(сам я только начал это всё изучать — недавно встала такая задача)
А если на сервере с десяток сайтов, написаных на какой-нибудь махине вроде битрикса с отключённым кешированием, или самописный неоптимизированый скрипт, и при этом не установлен ни файрвол, ни nginx, вообще ничего, да ещё где-то а стороне сайт(хозяин сайта) напросился на DDoS (конкурентов дразнил, например), тогда сам администратор(хозяин) виноват. Тут результат уже зависит от политики хостера: удерживать ли такого клиента или нет.
А если 100 мегабитную «кишку» сервера DDOS'ит ботнет с суммарным каналом в 400 мегабит и с 100 000 IP? Все не так тривиально как кажется :)
Нужный IP? Хм, а что нам мешает подделать IP источника, ведь получать ответ нам не нужно ;)

Берем к примеру эту библиотечку www.packetfactory.net/libnet/ и создаем пакеты со случайными адресами источника. «запретить нужный IP» катится лесом. Единственное во что я упрусь в случае генерации с одного хоста, так это ширина исходящего канала. Если развернуть такой генератор на сервере, то свалить хотя бы веб сервер можно и с одной машины :D
Если клиента доссят и если хостеру это грозит дополнительными затратами, то ему проще будет просто «отказаться» от этого клиента, пусть клиент сам оплачивает этот трафик…
Хочется надеяться, что таких хостеров не подавляющее большинство, но, к сожалению, таких достаточное количество…
Понятно, что ему проще отказаться, но почему заставляют клиента платить за трафик, если трафик анлим?
В том и беда, что клиент в данном случае, по идее, платить не должен, ведь это его атаковали, а хостер не стал решать проблему, хотя доссили его сервак (отключение сервера проблемой не считаем), но хостер не хочет тратить свои деньги, ему надо просто зарабатывать, и получается, что проще от одного-двух-трёх клиентов отказаться, при этом чтобы он (они) покрыли затраты и продолжить наживаться на остальных клиентах. Для того лазеечку такую в условиях и оставили…
Потому что анлим ввели для того, чтобы клиенту было не страшно переплатить за трафик, а компании не париться с его подсчётом — на практике всё равно сильно много на виртуальном сервере трафика сгенерировать нельзя и при обычной работе ни клиент, ни хостер ничем не рискуют. А вот в случае DOS кто-то должен покрывать убытки и логично что это именно клиент — раз он не озаботился защитить себя. Защита стоит денег и, естественно, в недорогой тариф входить не может.
Поделитесь, как защититься от DDOS'а клиенту VPS?
Никак. Делать так, что бы не быть частым объектом атак, а если у вас бизнес такой — так изыскивывайте деньги.
Не жлобиться на сервер в защищённой сети, если очень хочется быть защищённым от DDOS. А то очень некоторым хочется и денег не потратить, и что-то получить.
На VPS хостинге особо ничего сделать не получится в плане настроек сервера, чтобы защититься от DDOS-атак.
А привидите пример «не таких» провайдеров? Просто лично я таких не знаю. После определенной черты все отключают клиента и просят оплатить траффик.
Ну я не утверждал, что таких знаю, просто хочется надеяться, что есть не такие ;)
У меня такая-же история была в Masterhoste. Хитрый у них договор. Сервак хотели отобрать, но увы у них не вышло.
Обрашался даже к юристам. Они мне дружно говорили «Какой идиот подписал этот договор» а договор у них несколько десяток страниц, увы не позаботился заранее и чуть не поплатился. Ну все-же внес я задолжность для включения сервера, иначе мне его не включали, и выровнил траффик в 24 терабайта! Сейчас хостюсь у провайдера с переделанным под меня договором. Ато пошли тут рекламные акции, типа неограниченный траффик!!!
P.S. Читайте внимательно договор!
Думаю они просто не парились, когда писали эти правила — надо было что-то написать, где-то подглядели, что-то получилось. А теперь пытаются им следовать, хотя сами слабо понимают о чем говорят
Вы удивитесь, но любой хостер первое что сделает при DDoS — отрубит ваш сервер.
И включит только после того, как вы решите проблему с атакой.

И какие у вас условия по трафику — абсолютно всё равно.
Одно дело отрубить, другое — дождаться, пока человек попадет на бабло. И, кстати, не любой.
UFO landed and left these words here
Любой хостер может и отключит, а у хорошего есть силы и средства для отражения такого рода атак.
имя такого хостера в студию
+ описание примера когда произошло именно так
volia.com помнится оборудование от TippingPoint закупала, но оно вроде только внетренний трафик фильтрует у них… хотя не исключено что ДЦ у них тоже на входе TippingPoint'ами прикрыт. даи от Cisco многие подобное оборудование закупают…
оборудование у всех есть, у кого то лучше, у кого то меньше. Но когда забивается канал до этого оборудования — ваш сервер отключают
сервера sape.ru обслуживаются q0.ru — иногда отбиваются.
При больших атаках нужно не оборудование, а вменяемые аплинки. Зафильтрить у себя на входе нет проблем, но флудовый трафиик продолжит течь — ботнетам на фильтр наплевать.
Тут, скорее, российская действительность работы с аплинками.
Силы и средства возможно есть, но вот будет ли он ими пользоваться за спасибо?
Интересовался у одного из наших крупных хостеров %companyname%, ответ был таков «сколько вы готовы платить за защиту?»
Копать нужно от того сколько вы потеряете за 1 час простоя сервера из-за DDOS'а, если сумма будет высока то будет разумно такие деньги заранее потратить на защиту от оного.

Вспоминаю лекцию про ddos на последнем хайлоаде и общение в кулуарах — если к вам пришел DDOS это «песец», они смогут положить все аплинки вашего провайдера и привет.
у многих западных хостеров аплинки по 60GB и больше.
Для примера: аплинк яндекса — 20GB, примерно столько же — суммарная емкость каналов Россия-Запад
Если говорить о VPS — то конечно, наверно любой. Если говорить о выделенном сервере — то не любой, далеко не любой.
Эти не отрубают. Они выставляют счет. Я так им заплатил за сутки сотню евро, после чего собрал монатки и ушел.
Ситуация такая:
1. Обнаруживаю, что я в серьезном минусе из-за ddos'а.
2. Аккаунт отключен на границе суток, за это время набежала сотня евро.
3. Забрать бэкап не могу — аккаунт отключен, доступ закрыт.
4. Переписываюсь с саппортом, выясняю, что отключить сервер или отдельные сайты они не могут, а могут только брать деньги. Т.е. я не могу погасить долг и попросить притушить сервер. Могу погасить долг и ждать следующего.
5. Погасил долг, забрал контент, с интересом посмотрел, как набегает очередной долг под ddos'ом и послал в жопу firstVDS.
Универсальная «затычка» под которую можно подогнать любой трафик.
«неограниченный трафик» читать следует как «у нас есть ограничения, но мы вам готовим сюрприз ;) » и в чем-то он схож с лотереей.
UFO landed and left these words here
Специально сделали, чтоб у них не размещали сайты под DDOS'ом
Так если они могут предоставить безлимитный трафик, а ресурсы, выделяемые на VDS, и так ограничены, в чем для них разница?
Не всегда можно изолировать виртуальную машину на все сто процентов
Что же, поставить машину на паузу совсем нереально? xm pause имя_домена.
Трафик с ботнетов будеть литься даже если вы Ip положите.
до рутера только, не до самой машины…
Хостер платит за весь трафик до ip, до или после руотера, без разницы.
Т.е. проблема в трафике? А речь выше шла о ресурсах, выделяемых на VDS.
Хм. При большом и долгом флуде — проблема и в трафике.
В том что DDOS может быть большим — например пицот мегабит
А они попадают на трафик и прогруз роутера
Ну почему-же? сейчас уже есть хостинг провайдеры что продают канальные полосы — и гоняй там трафику сколько хочешь в обе стороны.
Ага, 55 тыщ — 100 мбит — средняя цена по Москве :)
А чему тут удивляться? В любом датацентре на любом тарифе если на твой IP идёт DDoS и тратяться ресурсы не предназначенные тебе по тарифному плану (скажем тариф выделенная полоса 100мбит а атака идёт 200 мегабит до последнего маршрутизатора) то сервер отключат. Это абсолютно нормально — из-за одного клиента не должны страдать сотни других. А на таких детских «анлимах» и удивляться нечего.
На счёт того что за траф попросят платить — это барышня из сапорта слишком категорично, в конечном итоге даже если они тебе это выставляют в счёт всё заканчивается твоим отказом оплачивать его и закрытием аккаунта, уверен если почитать договор ни о какой оплате этого трафика не говоря уже о методах его чёткой идентификации в потоке пейлоада речи быть не может
200 мегабит это копейки, и разберет его любой нормальный хостер.
Просто, нынешние флуды уже за гигабит, это скорее защита от них.
не в мегабитах дело, а в количестве запросов.
и двухсот мегабит, если это, например, UDP или ICMP, вполне может хватить для того, чтобы хостеру пришлось обращаться за помощью к вышестоящему провайдеру.
Ну дык. Обращаешься. Фильтруешь. Платишь за 200 мегабит (60 тер в месяц, ерунда какая), можно недельку потерпеть, если клиент хороший.
Но вот если тебе заливают гигабитный порт — деваться некуда.
За 100-500 долларов в месяц никто ничего терпеть не будет, IP атакуемого сервера тут же заблочат на кериере а клиенту скажут «браток, либо жди либо ищи хостера подобрее»
О боже.
Я один такой добрый?
Терять даже 5 доллларового нормального клиента из 200 смысла нет.
Ибо — может развоняться на весь интернет создать негативный имидж, да и в перспективе 3-5 лет все равно окупится.
90% хостеров просто реселлеры — арендуют сервера оптом продают в розницу, если у клиента проблема им нет смысла его выкидывать если не страдают другие клиенты. Они платят как правильно паушальные цены а повышенный обьём трафа это проблема датацентра. Так или иначе если вы ничего не теряете от этой атаки то можно конечно быть добрым даже к пятидолларовому клиенту. Но если вы платите за перерасход ресурсов по рыночным ценам то эта доброта не окупиться даже в долгосрочной перспективе, разве что клиент проникнеться и приведёт друга тянущего на key account
FirstVDS — на редкость лажовая контора, ощутил на себе. Поганый сервис, по крайней мере в части VDS, высокие цены. Хостили на них qutim.org, когда стало надоедать, что на сервер не удаётся даже залогиниться, переехали на чужой агавовский VPS, там не выдаётся на ls и cd сообщений «cannot fork()» и «out of memory».
Меня от слова Агава еще с конца 90-х дергает. Хотя мы движемся по направлению «достичь низкой цены/нормального качества, еще нужно время. Хотя в области хостинга/VDS разница не столь ощутима, зато в colocation и аренде места под сервер предпочитаю пользоваться пендосскими сервисами.
В конце 90-х меня от него тоже дергало :) А сейчас нам добрый человек свой VPS там дал на попользоваться, и вы знаете, мне весьма нравится.
Вот будут лишние деньги — буду ставить и пендосские, и кластера серверов в понтовые датацентры на коллокейшен ставить… а пока работаем с тем, что имеем)
да, подерживаю, VPS от агавы хороши ))
1) сам сначала пользовался firstvds.ru — не хватало мощностей. максимальный тариф — VDS-Улёт 600 МГц, 160 Мб озу.
2) потом начал пробовать vds64.com — недорого, есть мощность, нет техподдержки и находятся на Украине. wmz перевод постоянно забывали закинуть на баланс (даж сервак отрубался), приходилось регулярно быть назойливым, за свои же деньги )))
3) смотрел мастерхост, но там у них только голый VPS, даже без панели )))

в конечном счете остановился на Агаве и решил, что лучше переплатить за круглосуточную поддержку, отсутствие тормозов и проблем с оплатой.
У Мастехоста есть возможность использовать plesk, причем со скидкой.
Если не ошибаюсь, то других панелей так и не предлагают. К тому же не очень гибкие тарифы (по соотношению «что даем» и «тариф»).
Вообще-то любые панели — зло :)

Хотя, конечно, есть сильномогучий Plesk.
Уже 1.5 года сижу на агавовском dedicated сервере.
Сервер постоянно генерирует 3-8 MBit/s исходящего трафика (больше просто не требуется), при копировании бекапов в другое место (сервер тоже расположенный в Москве) без проблем получаю 10-15 MBit/s (опять же — больше не требуется).
Ради эксперимента пробовал прогнать десяток гигабайт на скорости 80 MBit/s — их тоже получал.

Не знаю как относится агава к серверам, генерирующим серьёзную нагрузку, но у меня относительно качества канала нареканий нет вообще (естественно, когда начинает колбасить весь рунет — колбасит и корбиновские каналы).

Стабильность работы — тоже на высоте.
За 1.5 года было всего 2 ребута о которых предупреждали заранее,… правда достаточно длительных — около 2-3 часов.

Дежурные администраторы — адекватные.
В самом начале во время настройки операционной системы случайно намудрил с firewall'ом, админ в онлайне по моей просьбе подключился к серверу и отключил firewall. Ни о каких платных KVM-over-IP никто не настаивал.

В общем, меня dedicated сервис агавы полностью устраивает, в ближайшем будущем планирую поставить у них на co-location собственный сервер.
у меня с ними не такой радужный опыт, но в целом терпимо
Может сидели на 64 мегах памяти (а еще и грузить пытались), а переехали на 512?
96 стандартных и еще дополнительно память оплачивал. Дополнительно — по какому-то совершенно грабительскому тарифу.
Не таких и не за такое количество. Дешевле, знаете ли, было бы один раз оплатить гигабайтную планку оперативки, чем всё это время платить за дополнительные 16МБ.
Уверяю, в серверах там стоят не одна планка, и даже побольше чем гигабайтная.
Просто, извините, за все надо платить. Столько, сколько оно стоит.
Ну вот я предпочел более дешевый и лучше работающий вариант. Платить за FirstVDS больше не имею желания.
Мне вот дали место на VPS агавы. Бесплатно. Еще предлагали на VPS РБК, за оплату дополнительного IP-адреса.
Как бы весь вопрос в том, на какие цели это надо.
Заумно, но не в тему.
Мне тоже много чего могут дать бесплатно, слава богу, подаянием жить не приходиться.

Когда я буду покупать хостинг для себя, я буду оплачивать его сам. А платить за хостинг сайта cайта для community мне хватило на FirstVDS.
Заплатите и летите. Хотите на грош пятоков — вы их получили.
UFO landed and left these words here
В других вопросах они очень оперативно помогают своим клиентам(обычно заявка по тех.поддержке получает ответ через 3-4 минуты). Даже звонят и интересуются всем ли я доволен каждый год =)
нормальная контора. что вы хотите получить от vds за 149 рублей в месяц?
кстати у firstvds.ru ещё проекты ispserver.com и minivds.com, и клиентов у них очень много.
Интересно что вы скажете про инфобокс какой-нибудь, если firstvds говноконтора. У них размещён, цена устраивает, всем доволен. Сомневаюсь что при ДДОСе какой-нибудь хостер не отрубит сразу же клиента, после того как заметит этот самый ддос. У данного хостера хорошая поддержка, уж поверьте отвечают довольно оперативно. И трафик и ддос это не проблема данного конкретного хостера, проблема гораздо шире. Почитайте их аферту, там наверняка что-нибудь про форсмажоры написано.

Конечно можно упереться лбом в «бесплатный трафик», я ведь его купил, и уж извольте давайте своим резиновым каналом пропускать сколько угодно, но мы же не на упячке какой-нибудь и понимаем.
— Чем безлимит отличается от халявы?
— Халява существует.
Существует, рядом с мышеловкой лежит и ждёт исполнения закона Мерфи :)
Знаете почему ответа еще нет? :) имхо 2е письмо составлено достаточно грамотно, тут как не вертись, а их хорошо выставил.
ребят, юзайте караван и спите спокойно. Я даже не мог представить себе сколько головной боли снимается, когда трафик действительно анлимный и не надо считать соотношения, следить за зарубежем итп. Почти всех клиентов туда перебросил и часть своих. удобно
одним клиентским проектом забиваю 2 канала по 100 мегабит начиная с 9 утра и кончая часом ночи. Никаких проблем нет.
Не верю (с)
Вот только вчера писал туда письмо, сказали, что меня не возьмут на таких условиях. Как раз размещаю сейчас сервер на коло с большим трафиком, все хотят продать полосу, иначе никак.
UFO landed and left these words here
проверено, в пик 100 мегабит забиваются только в путь, все честно.
Я так предполагаю, что fistvds инициировали эту услугу исходя из загруженности своих каналов. Причем опубликовали ее «as is». Есть возможность — пользуйте. Нет — вежливо предложат подумать над вопросом апгрейда ТП. Ни радоваться, ни обижаться в этой ситуации особо нечему.
А что касаемо защиты своих серверов, то на то она и услуга такая VDS. Сами рулите, сами ответственность несёте.
Сижу на fistvds уже пару лет. Держу там полумертвые проекты. Жаловаться поводов особых нет.

P.S. — кстати, помнится, в прошлом году их доняли ддосом и они ставили в дата-центре какое-то железо для защиты. Правда точных сведений не сообщали.
Вот тут некоторые говорят что дорого, а потом удивляются плохому сервису и некачественной работе сервера. VPS за 15$, в России. Чему удивляетесь то? Это же простая арифметика, определите примерную стоимость сервера и услуг сети, разделите на 10, и узнаете сколько там таких как вы. Это тот же виртуальный хостинг, только с тем что все проблемы по серверу теперь на Вас, ну и ещё гордая вывеска VPS. Скупой платит дважды.
Хостили у них свой проект, который довольно много кушал памяти и проца. Через какое-то время непонятно куда начало деваться дисковое пространство, за которое приходилось платить чуть ли не больше, чем за сам сервер. В итоге ушли от них к йо-хостс. Куда девалось место, кстати, так и не нашли )
всё очень просто, это логи)) их можно отключить…
ну мы не настолько тупые все же -_- логи чистились еженедельно.
Пора понять что безлимитных ресурсов не бывает, тем более трафика, и тем более на VDS.
А точнее они бывают но только в одном случае — за безлимитные деньги :)
ФёстВДС — это мало и тормозно за большие деньги. Странно, что ваш выбор пал именно на этого хостера.
У них ужасные условия по трафику и странные тарифы.
vdsplanet.ru — за теже деньги, только в Америке, пользовался когда была надобность, работает стабильно, суппорт всегда жив и в irc, и через тикеты.
На саммо деле Фёствдс. для начинающих попрактиковатться самое то. Я у них хостюсь и специально взял анлим трафик, но на такие подробности внимания не обращал (теперь подумаю).

P.S. Летс старт холивар, вич хостинг из зе бест!!!
Я у них в том числе хостюсь тоже. Может дать им ссылочку и попросить прокоментировать?
Очень часто хостеры требуют отсутствия доминирования входящего или исходящего трафика. То есть если входящий/исходящий = 1:1 либо в каком-то другом установленном хостером промежутке, все хорошо, если нет — вы заплатите за разницу, даже при теоретических «анлимах». Лучше «выровнять» соотношение — либо закачкой на свой хостинг «левых» файлов для выравнивая входящего, либо скачкой с него указанных выше файлов на другой хостинг. Часто это делается одновременно, для «выравнивания» соотношений сразу на двух хостингах :)
… увеличивая энтропию и без того сложного мира.
Вам не кажется эта практика несколько деструктивной?
Я разве сказал, что ей пользуюсь? Я просто ответил на вопрос (:
Спросите у хостера — я могу только догадываться (:
Я-то вообще не в теме, даже и догадываться не могу… что-то клиническое?
Бизнесмодель на которой зарабатывают дополнительные деньги с клиентов и ничего более.
Only those users with full accounts are able to leave comments. Log in, please.