Открыть список
Как стать автором
Обновить

Комментарии 47

НЛО прилетело и опубликовало эту надпись здесь
На данный момент куратор полностью устраивает. По сути мы получили что хотели, пусть и не так быстро/мягко как хотелось бы.
А на смену кого? Касперского с его то репутацией? извольте… Было предложение от серверклаба, забыл контору, одни из самых крупных американских антиддосеров. Они были готовы поставить 10мегабит чистый канал за 700 баксов в месяц. Куратор был любопытней и дешевле.
>ДДоС атаке в 4 мегабита
Э. 4 мегабита — ДДоС атака? Все-таки наверное четверть гигабита?
4-5 гигабит там было в пике.
опечатка, спасибо. конечно речь о 4 гигабитах
поправьте текст статьи?
Мне очень понравился ваш пост. Хотя может и интересно было бы узнать чуть больше о технических решениях (хотя понятно, что будучи под атакой не стоит всем рассказывать подробности).
Думаю чем больше будет таких историй с положительным опытом отказа от отечественных недо-хостеров в пользу надежных заграничных площадок, тем больше отечественный хостинг рынок будет специализироваться на мелких и неприбыльных проектах, что в итоге поставит вопрос — становиться лучше или умирать.
Дай бог чтобы у вас все было прекрасно, сервера оставались доступными годами напролет, а Караван и ДДОСеров анально покарали.
>> Гнев и угрозы каравана
можно подробнее?
У меня в караване остались сервера других проектов. Некоторые на фирму оформлены, некоторые физически на меня, некоторые на партнёров. При попытке поставить сервак туда на моего менеджера, аккаунт со стороны каравана уточнил, что менеджер хоть и физ лицо но работает в «2Товарища» (по мылу определил) и после этого сказал, что входной билет в караван стоит 10к рублей. Т.е. мало того, что я привожу своё оборудование им и оплачиваю первый месяц работы, я ещё и входной билет должен оплатить )))
На другой договор с долгом в 40к рублей, снова начали приходить письма о задолженности )) Там вообще отдельная история.
Мы сидели на лимитном канале и нас всё устраивало. Проект рос, лимита стало не хватать. Позвонил менеджеру в середине месяца, договорились что со следующего — у нас безлим (счета с каравана приходят после 10-ых чисел, и очередной перерасход не радовал). Тут есть моя вина, надо было помимо звонка менеджеру, оформить заявку через ЛК, для верности. В итоге через месяц я узнаю, что мы до сих пор не на безлиме, менеджер говорит что заявок в письменном виде от нас не было и на данный момент долг составляет 40к рублей. Я предложил разбить долг и отдать его в течении полугода, на что менеджер ответил отрицательно, мол здесь и сейчас, иначе «перекроем кислород». Менеджер не обратил внимание, что на этом аккаунте на тот момент уже не было серверов/услуг ;) вот уже год получаю письма с угрозами «отключения» из-за задолженности. А ведь предлагал мирно всё порешать…
Поясните как Qurator защищает от DDOSа хостинг в Амстердаме? Я что то не совсем понимаю.
Видимо, проксируют весь траффик через себя, отсекая лишнее
Мы перенаправили на них весь траффик, средствами ДНС, соответственно. Ну и указали, на какие IP его перекидывать.
Т.е. весь трафф идёт на куратор, фильтруется и идёт дальше к нам. Всё это происходит, без малого, мгновенно.
За что куратору низкий поклон. Я не представляю себе, как можно «на лету» чистить атаку в несколько гигабит и отдавать белый трафф.
Очень интересно, но такое перенаправление уязвимо к атакам на IP. Или IP, на которые трафик перенаправляется закрыты от прямого доступа из внешнего мира?

Если не секрет, где у куратора стоят паблик IP? При такой технологии разумно размещать приемники на мировых IX-ах.
Соответственно наши IP никто не знает. Мало того, при переезде, ребята из куратора настояли на смене IP адресов, чтобы исключить прямую атаку на IP.
Что касается кураторовских IP тут я могу ошибаться. Они говорили, что заказывают IP в европе, но вообще он определяется как Русский. Тут я не компетентен и боюсь ошибиться. 178.248.232.14
Соответственно наши IP никто не знает.


IP домена и сервера у вас как я понял разные, и у разных компаний?
Поправите если ошибаюсь.
днс сервер говорит что наш ip принадлежит нашей компании. по факту он записан на куратора. это выделенный ip, куратор знает что это наш и фильтрованный трафик направляет уже на наши реальные ip. т.е. реальные ипы знает только куратор
Интересная технология. А по домену тоже IP куратора?
Пускает трафик через свои сервера
С караваном все понятно.
Но непонятно про ДДОСы.

Если у вас 500 уников в день, при чудо-конверсии это 250 клиентов. Если вы зарабатываете 100 рублей с каждого, то это 2500р в день.

Вопрос, кому надо заказывать 4-5 гигабитную ддос-атаку на сайт с 500 униками?
учитывая, что а) этот траф приносит сравнимые или меньшие деньги
б) этот траф растечется по рынку и не придет 100% к заказчику

Я просто в своей жизни участвовал в большом количестве интернет-проектов, и никогда практически не сталкивался с ДДОСом. Просто пытаюсь разобраться, что такого нужно сделать, чтобы такой малопосещаемый проект «заказали».
Наш проект — rbtaxi.ru. Идеи, решения и принципы работы — тема отдельного топика.
Но если коротко — это обменник таксопарков Москвы и Питера. Компания «А» не справляется с заказами и выкидывает заказ в обменник. Компания «Б» только открылась и испытывает «голод» заказов, берёт этот заказ на выполнение. В итоге Клиент доставлен, А зарабатывает свою долю малую, Б обеспечивает водителей заказами и себя дивидендами. Ну и мы рядышком пристроились и берём свою комиссию ;)

Поэтому все ваши расчёты про конверсии ошибочны. Почти все, кто приходит на наш проект — наши клиенты/партнёры, которые активно работают в нашей системе каждый день.
а понял, не просек сразу, что это b2b :)
спасибо за адекватный ответ.
Какой полезный сервис, хотел бы такой в Киеве, чтобы такси не кидали с заказами.
Рашн бизнес. Бывают и хуже варианты. Скажи спасибо что твои серваки не продали нафиг =)
Качество статьи ужасает.
Ощущение что автор писал глубокой ночью за 15 минут набора без повторного взгляда на текст.
Для проэкта 500 уников в день 2 фронтенда, сервер БД и гигабитный канал… Я чего-то не улавливаю)
Ну он же написал, что просто было любопытно «а как оно».
Кроме 500 реальных уников 2 фронтенда и сервер бд они брали чтобы выдерживать гигабитный ддос, как я понял из описания.
Всё равно не понятно, зачем 2 фронтенда, тем более, если ддос защита сейчас делается на стороне.
на данный момент уже и незачем по сути, на вырост так сказать. мы до последнего были уверены, что обойдемся без куратора. не угадали (((
Было бы еще интересно узнать про ваш опыт борьбы с DDOS:
1. как и чем мониторите атаки;
2. каков у вас типичный DDOS и с какими еще сталкивались ip/icmp/tcp/udp или http?
3. как защищались, до обращения в куратор?

Много вопросов задал, но Ваш рассказ к ним подталкивает, буду признателен
если найдете время еще поделиться своим опытом.
1. Внешние системы мониторинга, аля mrtg. Ну и серверклуба отличная панелька, где отображены графики нагрузки каналов.
2. В основном атака была http+udp. udp быстро закрыли, но не спасло (
3. Пока атака была по http до гигабита, в общем защищались nginx`ом.

Сначала мы сделали html заглушки для всех страниц, что «до авторизации». Я описывал сервис чуть выше и он легко позволяет сделать полной статикой страницы без авторизации. Однако хардам это не очень нравилось. И мы перенесли всю статику в мемдиск (/var/nginxcache), т.е. в оперативку.
Короче говоря, благодаря nginx`у, сведение защиты от ДДоСа свелось к минимуму действий.
и упёрлось только в канал…
Все сделано правильно для оптимизации жизни под ДДОС, но не очень понятно почему вы продолжали честно обслуживать все запросы? Анализ логов -> файрвол?
А udp на какой порт?
в итоге получается, что для серъезных проектов хостера надо выбирать за бугром. вспоминая прошлые топики еще можно добавить что и домен в ру зоне брать нежелательно.
мы сразу взяли домен в ком/нет зонах.
Своим проектом мы немного конфликтуем с властями Москвы. Т.е. у них свои планы на этот рынок, а мы им вроде как мешаем. И нам уже намекали, что мы тут лишние и нас уберут ) поэтому да ))) бизнес по-русски ))
Как живут сами «службы» такси в России и в Москве в частности — это действительно ужас, нечему там радоваться властям. Но чем биржа не угодила?
порядок наводим. этим и не угодили
Будет в отдельной статье, обзорной ) ща пить перестанем и напишем )
Немного не в тему, но близко:
image
Всем, кто решил в результате прочтения этой статьи купить зарубежный хостинг очень советую в дополнение купить российский CDN — иначе за пределами Москвы и Питера ваш сервис будет подтормаживать. Физику не обманешь: 70-80 миллисекунд из Европы до Москвы в Екатеринбурге или Новосибирске превращаются в 150 мс, а это для сайтов с большим количеством статики приводит к дополнительным секундам задержки.
секундам?
У нас интерактивный сервис, порядка 200+ пользователей всегда онлайн, постоянно подгружается инфа, интервалы 2 секунды. У некоторых 1 секунда. Время ответа больше секунды я не видел. Средняя цифра 250мс, обычно не более 300мс.
Любая статика хранится в кеше и отдается постоянным пользователям моментально, у новых да, может быть задержка в 100-200мс.
комбатс в своё время отлично работал в Голландии, клавогонки аналогично. Твиттер в конце концов ;))) фейсбук.
Ураа, новый топик от Трина! :)
Спасибо, интересный рассказ, как обычно.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.