>Ой, и вы ЭТО называете красивым и элегантным решением?!Угу
>Это же жуткий
>костыль. Начать с того, что следует организовывать вообще схему фронтенд/бэкенд (необязательно
>на одной машине). Если уж у вас такие DoS'ы, с которыми
>справляется ядро.
кому следует орагнизовывать схему - тот организовывает схему.
А кому следует не принимать новый запрос в систему если загрузка выше нормы - тот не принимает запрос.
>Далее, писать модуль ядра для отслеживания загрузки чего-то в юзерлэнде - это
>криво.
загрузка системы пока что понятие одно на систему. А не на ядро или на юзерлевел.
"загрузки чего-то в юзерлэнде" звучит неразумно.
>Такие вещи следует в юзерлэнде же и отрабатывать,
вообще неразумно.
Управлять user-level'ом из него же - ненадежно.
>выдавая команду файрволу, который, кстати, может находиться на другой машине, равно как и
>анализатор (на сервере же только датчики).
о какой команде ФАЕРВОЛУ идет речь? Мне кажеться Вы не уловили суть в принципе...
>В ядре отслеживать, что конкретно
>не нравится процессу - слишком сложно.
:))
улыбнуло.
Вообще-то это и есть задача ядра: отслеживать все что кому нравится и что нет.
Наиболее эффективно управлять как минимум траффиком и процессами - из ядра.
>Наконец, когда решением предлагается _написать_ модуль ядра (!) - тут уже лицемерно
>говорить, что в одной ОСи это можно сделать, в другой нет
предполагается отсутствие даунтайма на загрузкку нового ядра.
Netfiler модуль вставляется находу.
Если PF умеет это же - тогда все описанное может и он. Собственно, в этом был вопрос.
>- специалист, на такое способный, сделает для любой, средства есть.
неспециалист сидит дома или учится
>Другое дело, что это может быть невозможно даже при наличии специалиста -
>например, когда ДДОСили bash.org.ru, они не имели возможность поменять на машине
>netfilter на nf-hipac - тупо из-за VDS (решили доморощенным аналогом).
>Да, хостер был плохой (потом сменили), да, отслеживание и перекрытие DoS'ов вообще задача хостера
дык, под такой проект, ессьно, нужен лишь выделенный сервер с возможностью менять в системе по желанию что угодно.
>Отсюда, кстати, видно, что предложенный к написанию модуль тем более хуже -
>сыграет на руку DDoS'у, дропая, возможно, вполне легитимные коннекты - не
>те критерии ибо.
расширьте сознание. Предлагаемый модуль НЕ дропает ничего.
Он умеет отслеживать загрузку. И именно в связке с другими методами ограничения дает неплохие результаты.