DDOS OpenSource Testing

Добрый день, Друзья, Коллеги, Товарищи ( Конкуренты =) ).

Мы периодически выкладываем свои труды в OpenSource — sprut.io, firststat.ru и хотим продолжить эту славную традицию.

Месяца 3 назад озадачились вопросом DDOS-атак на 4 уровне модели ISO. В данном случае речь идет о SYN/ACK флуде. Мы посмотрели на представленные решения и, в основном, есть две технологии:

SYNCOOKIE:
Суть заключается в том, что вместо записи информации о соединении мы кодируем ее в ACK-пакете в seq + timestamp последовательности с помощью SHA1 и открываем соединение ACK-пакетом при условии валидного ответа. Этот механизм есть в ядре — syncookie добавили его туда в 1998 году и не так давно его вынесли в iptables. На стандартной 1G сетевой карте без тюнинга сетевого стека и оптимизаций сервер начнет умирать с 500000 пакетов в секунду.

SYNPROXY:
Это решение уже на сторонней железке и обычно встраивается в разрыв сети. Файрвол держит информацию о статусе каждого соединения, подменяя seq последовательность в пакетах. Это решение используется в Juniper, F5, Arbor и прочих железках. При включении/выключении рвутся установленные сессии. Из преимуществ, на одном ядре можно выжать очень много пакетов в секунду, так как можно не использовать SHA1. 14М на ядро — это не сложно.

Фактически нам нужно было решение, которое очищает трафик на 4-м уровне, прозрачно подключается, может держать до 40 гигабит флуда и, в принципе, больше ничего не умеет =). При этом у нас есть довольно большой парк серверов, подключенных 1G-линком (и не с самой современной картой), и, откровенно говоря, в 95% случаев это более чем достаточно. То есть городить решение на каждом сервере было не вариант.

Запросив цены в Juniper, F5, Arbor и прочих вендоров, немного выпал в осадок — для наших нужд минимум 40М пакетов просили 120 000$, при этом подчеркнули, что данное железо надо обязательно резервировать.

Предлагал коллегам из других компаний вместе разработать подобное решение. Где-то были зачатки, но начальство было против такой разработки. Кто-то сразу посылал.

На текущий момент мы разработали систему, которая на процессоре e3-1270v3 держит более 10М пакетов SYN/ACK флуда на сетевых картах Intel 520/710 + UDP, ICMP флуд пока линки не забьются. На адекватных процессорах все упирается в линки.

Подключается прозрачно перед сервером и по всем нашим тестам отлично работает. Плюс системы в том, что она не разрывает существующие соединения и почти не требует модификации конечной машины.

И да, я хочу выложить все это счастье OpenSource после того, как все доделаем, протестируем и приведем в божеский вид (как минимум, чтобы править конфиги, а не константы в коде =) ). Я убежден — данный продукт повысит качество предоставляемых услуг, и надеюсь не только нам.

Так как и те, кто организует DDOS (будь то хоть школьник или владелец ботнета), пытаются получить прибыль с не совсем адекватной деятельности, так и те, кто защищает от DDOS, в большинстве своем получают прибыль на страхе перед первыми.

КАК ВЫ МОЖЕТЕ НАМ ПОМОЧЬ?
Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey@beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание — проект продолжит размещаться на старом месте.

Мы начинаем объединение с хостинг провайдером WebStix

В период с 15.06.2016 по 1.07.2016 будет проведен ряд работ по совмещению биллинга и сервисов, поэтому оплата будет недоступна.
Всем существующим клиентам услуга будет продлена, сервисы не будут останавливаться.
Данное объединение будет способствовать увеличению качества и расширению спектра предоставляемых нами услуг.
Мы постараемся осуществить объединение максимально незаметным и плавным.

С Уважением, команда SpaceFlex.net

Тарифы для клиентов SpaceFlex будут перенесены и сохранены. Мы подходим к данному вопросу лояльно и не будем лишать клиентов уже выбранной тарифной сетки. Продление уже заказанных услуг будет производиться на тех-же условиях.
Программно и аппаратно, клиенты будут получать те же услуги, с аналогичными панелями.
Работаем исключительно, на собственных серверах.
Мы хорошие ребята, клиентов не обижаем.
В перспективе, наряду с ДЦ в СПБ, предложим услуги в Эстонии, ведем переговоры по размещению оборудования.

С Уважением, команда webstix.ru

VDS в Канаде, новые геолокации в Европе

Рады сообщить вам о расширении списка доступных для выбора локаций VDS.
Добавлена возможность при заказе VDS выбрать, где физически будет размещаться ваш виртуальный сервер:
  • Россия, Санкт-Петербург
  • Франция, Гравлин
  • Канада, Боарнуа
  • Германия, Фалькенштейн
Разумеется, серверы в Канаде также оборудованы современным, высокопроизводительным процессором, большим количеством оперативной памяти и SSD накопителями, для максимально быстрой работы ваших проектов!
Новая локация оптимально подойдет для проектов, ориентированных на аудиторию из Северной Америки.

На серверах в Европе появилась возможность заказа дополнительных IP со следующими странами во whois: Чехия, Германия, Испания, Финляндия, Франция, Ирландия, Италия, Литва, Нидерланды, Польша, Португалия, Англия.
Минимально возможная для заказа подсеть состоит из четырех IP адресов.

Также напоминаем о доступности VDS на базе подключения 10 Гбит/сек.: just-hosting.ru/vds.html
Надеемся, данное нововведение позволит вам наиболее гибко подобрать подходящее место для размещения своего VDS.

С уважением,
Администрация Just Hosting / just-hosting.ru

Механизмы контейнеризации: cgroups



Продолжаем цикл статей о механизмах контейнеризации. В прошлый раз мы говорили об изоляции процессов с помощью механизма «пространств имён» (namespaces). Но для контейнеризации одной лишь изоляции ресурсов недостаточно. Если мы запускаем какое-либо приложение в изолированном окружении, мы должны быть уверены в том, что этому приложению выделено достаточно ресурсов и что оно не будет потреблять лишние ресурсы, нарушая тем самым работу остальной системы. Для решения этой задачи в ядре Linux имеется специальный механизм — cgroups (сокращение от control groups, контрольные группы). О нём мы расскажем в сегодняшней статье.

Тема cgroups сегодня особенно актуальна: в ядро версии 4.5, вышедшей в свет в январе текущего года, была официально добавлена новая версия этого механизма — group v2.
В ходе работы над ней cgroups был по сути переписан заново.

Почему потребовались столь радикальные изменения? Чтобы ответить на этот вопрос, рассмотрим в деталях, как была реализована первая версия cgroups.

blog.selectel.ru/mexanizmy-kontejnerizacii-cgroups/

VPS с 500 GB HDD всего за 9.5 USD



Новое акционное предложение!
  • 2 x 2.4 GHz Xeon E5-2620v3
  • 2 GB RAM DDR4 ECC
  • 500 GB HDD
  • канал 50 Mbit/s
  • безлимитный трафик
  • 1 IP адрес
  • Налдвейк, Нидерланды
  1. Базовое администрирование включено в стоимость.
  2. Произвести апгрейд услуги вы можете в любое время и без каких-либо потерь по финансам.
VPS в такой конфигурации вы можете приобрести прямо сейчас по цене 9.5 USD!
Для этого при заказе используйте промокод VPS-HDD-June, который дает скидку в 50%. Скидка действует на период заказа и два последующих периода при продлении услуги. Далее применяется стоимость в 19 USD

скидка и бесплатные SSL-cертификаты к Дню России




Дорогие друзья!
Компания WebHOST1 с радостью поздравляет вас с одним из важнейших праздников в современной истории нашего государства — Днем России! Хотим пожелать вам в любой ситуации быть сильными, независимыми и достойными гражданами своей великой страны!

В честь Дня России мы подготовили специальную скидку для наших клиентов — 12% на услуги хостинга и VDS. Активировать скидку можно с помощью промо-кода «promo-russia» до 14 июля 2016 года включительно.

Важно!
При использовании Яндекса (а также Яндекс.Браузера) может возникнуть предупреждение о возможном вредоносном коде на сайте webhost1.ru

Какой-либо опасности нет, это ложное срабатывание со стороны Яндекса, которое исчезнет при ближайшем обновлении.

Мы всегда стоим на страже безопасности наших пользователей.

Бесплатные SSL-сертификаты Let's Encrypt
Также с удовольствием сообщаем, что у нас появились бесплатные SSL-сертификаты, которые предоставлены некоммерческой организацией Let’s Encrypt.

Для заказа данного SSL-сертификата не требуется выделенный IP-адрес, а его выпуск, установка и дальнейшее продление будут абсолютно бесплатными.

Подробнее о бесплатных SSL-сертификатах webhost1.ru/blog/news/2016-06-11-14-23-13.html

Спасибо, что Вы с нами.
С уважением, команда webhost1.ru.

Happy Hour


Next week: 50% off Rightside Premium Registrations, with $12.50 renewals

Next Thursday, we're combining Happy Hour with our Premium Domain promotion. If you register a Premium Domain from the Rightside registry before June 30, the ongoing renewal price at Name.com will be just $12.50. And during next week's Happy Hour, we're slashing those Premium Domain registration prices by 50%.

If you'd like to do some research, you can view a list of eligible Premium Domains and TLDs here.

www.name.com/premiumpromo