Исходное сообщение
"Новая версия пакетного фильтра для Linux - iptables 1.4.0" Отправлено Nick, 30-Дек-07 23:57
>Ой, и вы ЭТО называете красивым и элегантным решением?! Угу >Это же жуткий >костыль. Начать с того, что следует организовывать вообще схему фронтенд/бэкенд (необязательно >на одной машине). Если уж у вас такие DoS'ы, с которыми >справляется ядро. кому следует орагнизовывать схему - тот организовывает схему. А кому следует не принимать новый запрос в систему если загрузка выше нормы - тот не принимает запрос. >Далее, писать модуль ядра для отслеживания загрузки чего-то в юзерлэнде - это >криво. загрузка системы пока что понятие одно на систему. А не на ядро или на юзерлевел. "загрузки чего-то в юзерлэнде" звучит неразумно. >Такие вещи следует в юзерлэнде же и отрабатывать, вообще неразумно. Управлять user-level'ом из него же - ненадежно. >выдавая команду файрволу, который, кстати, может находиться на другой машине, равно как и >анализатор (на сервере же только датчики). о какой команде ФАЕРВОЛУ идет речь? Мне кажеться Вы не уловили суть в принципе... >В ядре отслеживать, что конкретно >не нравится процессу - слишком сложно. :)) улыбнуло. Вообще-то это и есть задача ядра: отслеживать все что кому нравится и что нет. Наиболее эффективно управлять как минимум траффиком и процессами - из ядра. >Наконец, когда решением предлагается _написать_ модуль ядра (!) - тут уже лицемерно >говорить, что в одной ОСи это можно сделать, в другой нет предполагается отсутствие даунтайма на загрузкку нового ядра. Netfiler модуль вставляется находу. Если PF умеет это же - тогда все описанное может и он. Собственно, в этом был вопрос. >- специалист, на такое способный, сделает для любой, средства есть. неспециалист сидит дома или учится >Другое дело, что это может быть невозможно даже при наличии специалиста - >например, когда ДДОСили bash.org.ru, они не имели возможность поменять на машине >netfilter на nf-hipac - тупо из-за VDS (решили доморощенным аналогом). >Да, хостер был плохой (потом сменили), да, отслеживание и перекрытие DoS'ов вообще задача хостера дык, под такой проект, ессьно, нужен лишь выделенный сервер с возможностью менять в системе по желанию что угодно. >Отсюда, кстати, видно, что предложенный к написанию модуль тем более хуже - >сыграет на руку DDoS'у, дропая, возможно, вполне легитимные коннекты - не >те критерии ибо. расширьте сознание. Предлагаемый модуль НЕ дропает ничего. Он умеет отслеживать загрузку. И именно в связке с другими методами ограничения дает неплохие результаты.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Ой, и вы ЭТО называете красивым и элегантным решением?! > Угу >>Это же жуткий >>костыль. Начать с того, что следует организовывать вообще схему фронтенд/бэкенд (необязательно >>на одной машине). Если уж у вас такие DoS'ы, с которыми >>справляется ядро. > кому следует орагнизовывать схему - тот организовывает схему. > А кому следует не принимать новый запрос в систему если загрузка выше > нормы - тот не принимает запрос. >>Далее, писать модуль ядра для отслеживания загрузки чего-то в юзерлэнде - это >>криво. > загрузка системы пока что понятие одно на систему. А не на ядро > или на юзерлевел. > "загрузки чего-то в юзерлэнде" звучит неразумно. >>Такие вещи следует в юзерлэнде же и отрабатывать, > вообще неразумно. > Управлять user-level'ом из него же - ненадежно. >>выдавая команду файрволу, который, кстати, может находиться на другой машине, равно как и >>анализатор (на сервере же только датчики). > о какой команде ФАЕРВОЛУ идет речь? Мне кажеться Вы не уловили суть > в принципе... >>В ядре отслеживать, что конкретно >>не нравится процессу - слишком сложно. > :)) > улыбнуло. > Вообще-то это и есть задача ядра: отслеживать все что кому нравится и > что нет. > Наиболее эффективно управлять как минимум траффиком и процессами - из ядра. >>Наконец, когда решением предлагается _написать_ модуль ядра (!) - тут уже лицемерно >>говорить, что в одной ОСи это можно сделать, в другой нет > предполагается отсутствие даунтайма на загрузкку нового ядра. > Netfiler модуль вставляется находу. > Если PF умеет это же - тогда все описанное может и он. > Собственно, в этом был вопрос. >>- специалист, на такое способный, сделает для любой, средства есть. > неспециалист сидит дома или учится >>Другое дело, что это может быть невозможно даже при наличии специалиста - >>например, когда ДДОСили bash.org.ru, они не имели возможность поменять на машине >>netfilter на nf-hipac - тупо из-за VDS (решили доморощенным аналогом). >>Да, хостер был плохой (потом сменили), да, отслеживание и перекрытие DoS'ов вообще задача хостера > дык, под такой проект, ессьно, нужен лишь выделенный сервер с возможностью менять > в системе по желанию что угодно. >>Отсюда, кстати, видно, что предложенный к написанию модуль тем более хуже - >>сыграет на руку DDoS'у, дропая, возможно, вполне легитимные коннекты - не >>те критерии ибо. > расширьте сознание. Предлагаемый модуль НЕ дропает ничего. > Он умеет отслеживать загрузку. И именно в связке с другими методами ограничения > дает неплохие результаты.
	Введите код, изображенный на картинке: