Корневые DNS сервера находятся в США. Так что они легко могут разделегировать домен в любой зоне .ZW, .RU и т.п. Снятие домена с делегирования = отключение сайта во всем мире, в не зависимости от того где он хостится и где зарегистрирован Такие случаи были.
Данные банковских карт/транзакций лет 20 назад хранили, точно так же, в текстовых файлах или в лучшем случае открытом виде в БД. Потом появился стандарт PCI-DSS. С правилами аудита систем и обучения сотрудников. Цель стандарта предотвращать/сделать невозможными утечки.
Для охраны персональных данных у нас только 152-ФЗ? Цель которого карать «стрелочников», но не предотвращать проблему. Поправьте меня, если ошибаюсь.
Да по полному пути элемент будет найден быстрее, но это мили секунды! DOM дерево в оперативной памяти и поиск по нему осуществляется очень быстро, даже если мы не укажем полный путь.
Не достаток «полного пути» — в том что эта длинная цепочка узлов сделает ваш запрос плохо читаемым. Увеличивается вероятность допустить ошибку с Вашей стороны и программисту который получит это запрос после вас будет сложнее в нем разобраться.
спасибо за комментарий
Постараюсь ответить также подробно.
1. "“По умолчанию ОС Debian и другие ОС не в состоянии поддерживать " —
по умолчанию ядро не предназначено работать в условиях большого кол-ва паразитных соединений и при DoS множество не закрытых сокетов создаст дефицит свободной ОЗУ. И прежде всего нужно настроить ядро и потом перейти к фронтэнду, бекэнду.
2. «После смены sysctl не нужно перегружаться» — верно! Исправлю соотв. абзац.
3. «LA не зависит напрямую ни от памяти, ни от процессора. По большому счету, это бессмысленный показатель.»
— я не согласен с вами. LA — это результирующий показатель состояния ЦП, ОЗУ, Дисков.
4. " Вы видите в нетстате соединения на незапущенный сервис, не слушающий нужный порт? :) "
— остановил nginx и выполнил netstat
5. «Свыше 300Мбит/с мы «упремся» в предел рандомного чтения SAS дисков.» — справедливо для HDD отдающего видео/аудио, т.е. «тяжелые» файлы. Для HTML файлов это утверждение несправедливо.
убрал из текста это абзац.
6. «Ну и дальше уже не читал…»
— прочитайте до конца, пожалуйста, возможно у вас появятся другие конструктивные замечания
очень большую роль играет географическое расположение вашего сервера и анти-ддос фильтра, верно?
Если они в пределах одного ДЦ — результат будет потрясающий.
А вот если между ними несколько стран или океан? Не получите ли вы высокий процент 502х ошибок?
можно все сделать в awk, но для лучшего понимания я написал grep.
Так универсальный скрипт получается. Если прядок полей в логе чуть другой поиск в awk придется править.
Вам удалось сжать трафик помощью фильтрации? каково было значение?
Как я понимаю, фильтрация может позволить снизить паразитный трафик в 5 и более раз.
Достаточно сжать 7Гбит до 1Гбит/с и победа наша. Другой вопрос сколько нужно ресурсов для такой фильтрации.
1 Гбит/с в Москве стоит около 40т.р. в месяц — небольшая сумма для крупного проекта.
Корневые DNS сервера находятся в США. Так что они легко могут разделегировать домен в любой зоне .ZW, .RU и т.п.
Снятие домена с делегирования = отключение сайта во всем мире, в не зависимости от того где он хостится и где зарегистрирован
Такие случаи были.
Для охраны персональных данных у нас только 152-ФЗ? Цель которого карать «стрелочников», но не предотвращать проблему. Поправьте меня, если ошибаюсь.
Да по полному пути элемент будет найден быстрее, но это мили секунды! DOM дерево в оперативной памяти и поиск по нему осуществляется очень быстро, даже если мы не укажем полный путь.
Не достаток «полного пути» — в том что эта длинная цепочка узлов сделает ваш запрос плохо читаемым. Увеличивается вероятность допустить ошибку с Вашей стороны и программисту который получит это запрос после вас будет сложнее в нем разобраться.
Применяются SAX-парсеры… для чтения XML-потоков большого объема (когда построение DOM требует слишком большого объема памяти).
исправил
5. Как назвать чтение с диска одновременно 2К файлов?
7. Верно. Я скажу так «Отсутствовал опыт остановки ipset. Без КВМ пересобирать ядро было слишком рисковано.»
8.
взял из стандартный скрипт ротации логов Debian.
9. согласен. Доработаю скрипт.
10. DoS за 5 т.р. должен нестрашен изначально.
11. тут не экспериментировал. сделал предположение.
12. над этим предложением приведен кусок конфига где
14. Все зависит от возможностей сторон атакующей и отражающей. В войнах же побеждали, и не всегда самые «грамотно организованные».
В России мало создать бизнес, его еще нужно удержать: а) наплову, б) в своих руках.
Постараюсь ответить также подробно.
1. "“По умолчанию ОС Debian и другие ОС не в состоянии поддерживать " —
по умолчанию ядро не предназначено работать в условиях большого кол-ва паразитных соединений и при DoS множество не закрытых сокетов создаст дефицит свободной ОЗУ. И прежде всего нужно настроить ядро и потом перейти к фронтэнду, бекэнду.
2. «После смены sysctl не нужно перегружаться» — верно! Исправлю соотв. абзац.
3. «LA не зависит напрямую ни от памяти, ни от процессора. По большому счету, это бессмысленный показатель.»
— я не согласен с вами. LA — это результирующий показатель состояния ЦП, ОЗУ, Дисков.
4. " Вы видите в нетстате соединения на незапущенный сервис, не слушающий нужный порт? :) "
— остановил nginx и выполнил netstat
5. «Свыше 300Мбит/с мы «упремся» в предел рандомного чтения SAS дисков.» — справедливо для HDD отдающего видео/аудио, т.е. «тяжелые» файлы. Для HTML файлов это утверждение несправедливо.
убрал из текста это абзац.
6. «Ну и дальше уже не читал…»
— прочитайте до конца, пожалуйста, возможно у вас появятся другие конструктивные замечания
Если они в пределах одного ДЦ — результат будет потрясающий.
А вот если между ними несколько стран или океан? Не получите ли вы высокий процент 502х ошибок?
Так универсальный скрипт получается. Если прядок полей в логе чуть другой поиск в awk придется править.
Как я понимаю, фильтрация может позволить снизить паразитный трафик в 5 и более раз.
Достаточно сжать 7Гбит до 1Гбит/с и победа наша. Другой вопрос сколько нужно ресурсов для такой фильтрации.
1 Гбит/с в Москве стоит около 40т.р. в месяц — небольшая сумма для крупного проекта.