Pull to refresh

Comments 10

Первое и самое важное — это знание о поведении пользователей

Можете посоветовать инструменты (лучше с открытым кодом) для анализа этого самого поведения?
я бы порекомендовал посмотреть на TICK stack: telegraf для сбора статистики + influxdb для хранения статистики + kapacitor для ее анализа + chronograf или grafana для визуализации, либо на clickhouse для хранения логов + grafana для визуализации результатов разных хитрых аналитических запросов к этим логам. но и то и другое требует адаптации к конкретно вашему пониманию понятия «поведение» (какие именно аспекты поведения вы хотите анализировать), например могут потребоваться кастомные средства для сбора релевантной для вас статистики по запросам к интересующим вас местам веб-приложения (для последующего хранения в influx'е, если например telegraf тут окажется недостаточно гибким), либо хитро построенные запросы к clickhouse'у. в ряде случаев может потребоваться приделывать дополнительные более удобные кастомные способы визуализации «поведения», нежели просто графики, тут можно посмотреть на d3js
межсетевой экран (файрвол), являющийся нежным устройством
O_O

Мне всегда казалось, что задача МЭ — это как раз стоять на границе сети и стойко отражать атаки блокировать несанкционированные подключения. Разве нет?
Единичные подключения МСЭ блокирует, но когда его заливает трафиком со всех сторон, ему, разумеется, тут же поплохеет.
все что STATEFUL умирает в первую голову, ибо STATE это ресурсы выделяемые.

Когда нам налили 20 гигабит, то стало плохо всему колокейшину. Толку от фаервола то в таком случае.


Мне кажется, что банальное размещение нс-ов на клоудфлеере с бесплатным аккаунтом минимум на порядок снижает количество желающих поддосить

С чего бы ему снижаться на порядок, если сложность организации атаки возрастает незначительно?

Как минимум, если ничего больше не делать, кроме прятанья реальных IP за CF — будет то, что в статье сказано (атакующему достаточно обратиться к DNS history своей цели).

Как не минимум (если менять адреса и т.д.), существуют сервисы, которые резолвят в адреса позади CF — снова один дополнительный запрос для обитателя «серой зоны» Интернета. Дальше история повторяется.

Увеличение стоимости атаки снижает вероятность ее проведения.


Единственный вариант не умереть колокейшину — это заанонсить в девнулл сетку. Клоудфлеер настраивается на адрес из другой сети — просто к ддосу надо быть готовым, мы не были и у нас перевод портала для работы через клоудфлеер занял двое суток

просто к ддосу надо быть готовым

Золотые слова!
Клоудфлеер настраивается на адрес из другой сети

Совершенно верно. Вариант «как минимум» это действие исключит, если стараться этот IP не светить.

Однако есть и другие способы узнать реальный IP-адрес ресурса, их достаточно много. Они, во-первых, совершенно бесплатны, а во-вторых, не намного сложнее самого банального, и их описание есть в открытых источниках. Соответственно, их применение не увеличивает стоимость атаки сколько-нибудь заметно.

Из-за блокировок online-казино постоянно вылезают проблемы с HTTPS/IPv4-сайтами на бесплатном cloudflare. Так что это весьма грустный вариант для русскоязычных сайтов.

Sign up to leave a comment.