Рейтинг
0.00

Beget Хостинг

9 читателей, 94 топика
О блоге RSS

Поиск

Показать больше опций
Искать только в этом блоге:

Juniper MX + IX + SynFlood

В данной статье я бы хотел рассказать об одном достаточно простом методе защиты от Syn Flood атак на маршрутизаторах Juniper серии MX. Данный метод может помочь при нескольких условиях, о которых рассказано ниже. Конечно, есть аппаратные и программные решения, технологии Syn Cookies, Syn Proxy и другие. Но, иногда, большую часть трафика получается заблокировать на маршрутизаторе без применения дополнительных механизмов или дорогостоящих устройств. Так как мы использовали для настройки маршрутизатора некоторые статьи наших коллег, решили поделиться и нашим опытом, он достаточно специфичны, но надеемся принесет пользу. Пример такой атаки приведен на графике ниже.



Немного теории

Syn Flood — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов в достаточно короткий срок. Сам SYN пакет имеет маленький размер (с заголовками канального уровня 54+ байт), даже с полосой 1G можно генерировать большое количество пакетов в секунду. Часть провайдеров не запрещают отправку из своей сети пакетов с подменным адресом источника, и даже один сервер с полосой 1G, размещенный у такого провайдера, может генерировать атаку, которая создаст много проблем. Большинство провайдеров интернета для конечных пользователей не выпускают из своей сети пакеты с поддельным адресом источника и, как следствие, большинство атак идет именно с клиентов ДЦ, при этом количество атакующих машин невелико.

Что можно предпринять на Маршрутизаторе?

Изначально нужно исходить из того, что у нас хорошая связанность и подключено много точек обмена трафиком. Конечно, если у Вас единственный UPLINK и, предположим, Syn Flood идет с одной машины, можно попробовать проанализировать трафик, и, если человек который организует DDOS совсем ленивый и не позаботился о разных ttl, можно заблокировать трафик по ttl + dst ip. В этом случае отрежется весь трафик с данным ttl — это, безусловно, лучше, чем если бы сервер лежал совсем, но не оптимально.

На текущий момент на моей работе кроме магистральных провайдеров и провайдеров обеспечивающих неполную связанность, подключены такие точки обмена трафиком, как:
  • DataIX
  • Cloud-IX
  • Pirix
  • WIX
  • SpbIX
  • MskIX
  • CodIX
  • GlobalIX
  • IHome

Читать дальше →

Бесплатные SSL-сертификаты для всех

Мы рады сообщить, что теперь пользователи нашего хостинга прямо из панели управления могут бесплатно заказать
SSL-сертификат, предоставляемый некоммерческой организацией Let's Encrypt. Сертификат будет автоматически выпущен и установлен для вашего домена, а в последствии будет автоматически продлеваться. Для заказа Let's Encrypt сертификата не требуется выделенный IP-адрес.

Выпуск, установка и дальнейшее продление сертификата — абсолютно бесплатны!


Как заказать бесплатный SSL-сертификат?
1. Зайдите в раздел «Домены» и выберите напротив домена «Управление SSL сертификатами».

2. В открывшемся окне перейдите на вкладку «Бесплатный сертификат» и нажмите кнопку «Заказать».

3. После отправки заказа SSL-сертификата на контактный email вы получите письмо о подаче заявки на выпуск SSL, а затем еще одно письмо о завершении его установки.
4. В момент установки для домена будет автоматически изменена A-запись, если домен работает на наших DNS. Если вы используете не наши DNS, то необходимо самостоятельно прописать на них указанный в письме IP-адрес в качестве А-записи для домена.

DNS записи обычно обновляются в течение 10-15 минут, после их обновления проверьте корректную работу сайта через https и при необходимости настройте редирект с http на https на постоянной основе.

Убедитесь, что все подключаемые к сайту ресурсы запрашиваются по https, а также все внутренние и внешние ссылки указаны по протоколу https. В противном случае, это может повлиять на правильную работу сайта.

Если все прошло успешно, то при запросе сайта по https, в адресной строке браузера вы увидите зеленый замок слева от адреса вашего сайта , который означает, что установлено безопасное соединение с ним. Нажмите на иконку зеленого замка, если хотите посмотреть более подробную информацию о выпущенном сертификате.

Данный сервис предоставляется бесплатно и находится в открытом бета-тестировании для наших клиентов. В случае обнаружения каких-либо проблем обращайтесь в техническую поддержку, мы с радостью постараемся вам помочь и сделать сервис удобнее.

Подключили прямой стык с провайдером Elitel

Подключили прямой стык с провайдером Elitel eliteltg.ru Теперь трафик между нашими сетями ходит напрямую, время отклика существенно сократилось. В текущий момент ведем переговоры, что бы трафик до наших серверов считался как локальный.

Встречайте PHP7



Мы рады сообщить вам, что теперь на нашем хостинге вы можете использовать PHP7 (www.php.net), подключив его в панели управления всего в несколько кликов.

По сравнению с PHP 5.6 новый интерпретатор выигрывает по производительности по меньшей мере на 20-30%.

Большие изменения коснулись ядра интерпретатора: проект PHPNG, который лежит в основе PHP7, значительно поднял производительность его работы, был улучшен менеджер оперативной памяти и введена полноценная поддержка 64-битных систем.

Новвоведения PHP7
В PHP7 был добавлен ряд новых синтаксических конструкций, а также исправлено множество ошибок предыдущих версий.

Поддержка скалярного typehint для агрументов функций, аргументов методов и возвращаемых значений позволит сделать код более читабельным. Также появилась возможность включить режим строгой типизации, при которой проверка типов будет выполняться строго. В случае несоответствия типов будет выброшено исключение TypeError.
declare(strict_types=1);
  function checkPasswordLength(string $password) : bool {
      return strlen($password) > 6;
  }
  
  checkPasswordLength(123456); // TypeError!
  checkPasswordLength("secretpassword"); // ok


Null coalescing operator.
Новый оператор, который, по сути, является приятным синтаксическим сахаром, позволяет не писать утомительную проверку с isset, если переменной или значения в массиве может не существовать.
$username = isset($_GET['username']) ? $_GET['username'] : "nobody"; // Старый способ
$username = $_GET['username'] ?? "nobody"; // С помощью нового оператора
$username = $_GET['user'] ?? $_POST['user'] ?? 'nobody'; // можно объединять в цепочки


Spaceship operator.
Новый оператор сравнения тоже является синтаксическим сахаром. Он производит сравнение операндов и возвращает:
0, если значения равны
-1 если левый операнд меньше правого
1 если правый операнд больше правого

Spaceship operator удобно использовать в callback-функциях, которые передаются в функцию сортировки:
$users = [
  "Mike" => ["age" => 22],
  "Ann"  => ["age" => 32],
  "Tony" => ["age" => 10],
];

$sortSpaceship = function($a, $b) {
  return $a['age'] <=> $b['age'];
};

$sortWithoutSpaceship = function($a, $b) {
  return ($a['age'] < $b['age']) ? -1 : (($a['age'] > $b['age']) ? 1 : 0);
};

uasort($users, $sortSpaceship); // Сортировка с применением нового spaceship-оператора
uasort($users, $sortWithoutSpaceship); // Сортировка без него, намного длиннее


Анонимные классы.
В PHP7 добавлена поддержка анонимных классов в стиле Java и C#. Анонимные классы могут быть вложенными.
// Pre PHP 7 code
class Logger
{
    public function log($msg) {
        echo $msg;
    }
}

$util->setLogger(new Logger());

// PHP 7+ code
$util->setLogger(new class {
                     public function log($msg) {
                         echo $msg;
                     }
                 });


Как включить поддержку PHP7?
Включить поддержку PHP7 для домена вы можете из панели управления в разделе «Сайты». Напротив домена, который должен использовать интерпретатор PHP7, нажмите на иконку с надписью «PHP». В открывшемся окне выберите PHP7 и нажмите кнопку «Применить». Немного подождите пока применятся настройки и начинайте писать код на PHP 7.

Вчера, около 20:00 по мск

Вчера, около 20:00 по мск, была достаточно сильная DDOS-атака, более 100 гигабит в секунду.

Мы справились с этой атакой в течение часа. Атака шла на всю инфраструктуру из-за клиента на хостинге. Цель DDOS атаки была локализована и изолирована.
Атака была в несколько этапов и через разных провайдеров, а некоторые из них, даже порвали с нами BGP, чтобы их инфраструктура не пострадала.
Мы оптимизируем процесс отражения DDOS атаки, чтобы при следующей крупной атаке отразить её быстрее.

Такие крупные DDOS атаки бывают крайне редко. DDOS атаки меньшего размера мы отбиваем быстро
и без влияния на инфраструктуру. Для клиентов они практически не заметны.
Приносим наши извинения за неудобства.

Летняя распродажа доменов .RU и .РФ!



Домены .RU и.РФ всего по 69 рублей!
Зарегистрировать домены вы можете в панели управления в разделе «Домены». Если вы еще не являетесь нашим клиентом, просто пройдите мгновенную регистрацию.

Условия акции:
  • акция действует для существующих и новых клиентов;
  • специальная цена на домены доступна, eсли общая сумма платежей на аккаунте составляет 300 рублей и более;
  • в рамках акции с одного аккаунта можно зарегистрировать не более трех доменов в зонах .RU или.РФ;
  • предложение не распространяется на пользователей бесплатного хостинга;
  • срок окончания акции 31 августа 2015 года.

beget.ru/domain-register