Наверное надо было в "шаровару", но чую, что все равно тут тема окажется.
Ситуация: есть продукт, написанный для Linux. Предназначение продукта не важно, важно что он был написан для внутреннего использования, но оказался потенциально весьма востребован среди администраторов сайтов. Но администраторов не корпоративных порталов, а всякой мелкой шелупонью от школьника-кулхацкера до конторки из пяти человек по продаже маек в интернете (это максимум).
Теперь сабж: как монетизировать потенциальный спрос?
Если выпустить продукт под свободной лицензией как donationware, то не дождусь ни копейки (во-первых уже есть опыт, а во-вторых см. целевую аудиторию). Можно сделать защиту и продавать как shareware, но тут всерьез встает проблема линуксового менталитета (софт должен быть бесплатным и в исходниках, точка). Продавать поддержку бесперспективно, т.к. продукт весьма прост в использовании.
И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения. Даже если аналогов нет. Даже если продукт реально нужен хоть небольшой, но ненулевой прослойке пользователей системы. Если сам не используешь Linux как бизнес-инструмент, то под него экономически оправдано писать только сложных запутанных монстров, в которых без поддержки никто не разберется. Или же нужно самому быть монстром типа Оракла, и зарабатывать в основном благодаря стараниям раздутого юридического отдела.
И хотя к вопросу это не относится, ИМХО, именно поэтому большинство линуксовых программ выглядят как атомная война или требуют недельного курения манов перед тем как взлететь. У разработчиков простых и удобных инструментов просто нет шанса заработать на таком рынке. И как следствие -- доля линукса на десктопах в пределах статистической погрешности.
Здравствуйте, quwy, Вы писали:
Q>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения. Даже если аналогов нет.
Да ну? Что за софтина такая уникальная?
Q>Можно сделать защиту и продавать как shareware, но тут всерьез встает проблема линуксового менталитета (софт должен быть бесплатным и в исходниках, точка).
Ну если ЦА чисто в РФ и странах СНГ, то да. А на западе народ культурный — даже защит не надо.
Здравствуйте, quwy, Вы писали:
Q>Ситуация: есть продукт, написанный для Linux. Предназначение продукта не важно, важно что он был написан для внутреннего использования, но оказался потенциально весьма востребован среди администраторов сайтов.
Q>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения.
Востребованный среди администраторов сайта — это софт широкого назначения? хмм..
Q>И хотя к вопросу это не относится, ИМХО, именно поэтому большинство линуксовых программ выглядят как атомная война или требуют недельного курения манов перед тем как взлететь. У разработчиков простых и удобных инструментов просто нет шанса заработать на таком рынке. И как следствие -- доля линукса на десктопах в пределах статистической погрешности.
Не поэтому. Десктопные пользователи в основном сидят в интернетах и гамают. Ну ещё может офис. Зачем им "простые и удобные инструменты"(да и ещё и за деньги)? Точнее, зачем им выбирать платформу на основании их недостатка?
Доля линукса на десктопах мала, потому что игр нет и железо плохо поддерживается. А игр нет и железо плохо поддерживается, потому что доля линукса на десктопах мала.
Здравствуйте, quwy, Вы писали:
q>Можно сделать защиту и продавать как shareware, но тут всерьез встает проблема линуксового менталитета (софт должен быть бесплатным и в исходниках, точка). Продавать поддержку бесперспективно, т.к. продукт весьма прост в использовании.
Судя по ЛОР'у, линуксоиды вполне себе покупают всякие игрушки
q> И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения.
В Убунтах вот уже магазин для проприетарщины появился (в софт-центре, по крайней мере). Может пока не функционирует, я не в курсе, но попробовать можно.
q> И хотя к вопросу это не относится, ИМХО, именно поэтому большинство линуксовых программ выглядят как атомная война или требуют недельного курения манов перед тем как взлететь. У разработчиков простых и удобных инструментов просто нет шанса заработать на таком рынке. И как следствие -- доля линукса на десктопах в пределах статистической погрешности.
ИМХО, ты напрасно думаешь о линуксоидах, как о халявщиках, ждущих всего и бесплатно. На том же ЛОР'е неоднократно уже видел поборников разъясняющих, что Open Не значит Free
Здравствуйте, quwy, Вы писали:
Q>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения.
Мелкому разработчику нужно было "положить" на десктопные приложения еще лет 10 назад и полностью уйти в веб. Устанавливаемые программульки мало кому нужны сегодня из конечных пользователей.
Здравствуйте, DorfDepp, Вы писали:
DD>Мелкому разработчику нужно было "положить" на десктопные приложения еще лет 10 назад и полностью уйти в веб. Устанавливаемые программульки мало кому нужны сегодня из конечных пользователей.
Это только ваше личное видение.
Про простых пользователей не скажу. Но корпоратвиный сегмент десктопного ПО живее всех живых.
В сравнении с ним, корпоративный веб нервно курит в сторонке
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Здравствуйте, DorfDepp, Вы писали:
DD>>Мелкому разработчику нужно было "положить" на десктопные приложения еще лет 10 назад и полностью уйти в веб. Устанавливаемые программульки мало кому нужны сегодня из конечных пользователей.
M_F>Это только ваше личное видение.
M_F>Про простых пользователей не скажу. Но корпоратвиный сегмент десктопного ПО живее всех живых.
Это только твое видение. Как раз корпоративный сектор первым на веб переполз почти полностью, потому что там есть необходимость апгредйить разом все клиентские приложения, при некотором количестве это крайне геморройно сделать.
M_F>В сравнении с ним, корпоративный веб нервно курит в сторонке
Ну давай назови самые массовые erp, crm и системы документооборота, посмотрим что их них не веб. Даже 1С в версии 8 уже веб умеет, несмотря на то что внутри древнючий код.
Q>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения.
Ну да, CD Ejector'ы за $9.99 в Linux не нужны. Для тебя это, может быть, недостаток. Для меня — достоинство.
Здравствуйте, Vamp, Вы писали: Q>>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения. V>Ну да, CD Ejector'ы за $9.99 в Linux не нужны. Для тебя это, может быть, недостаток. Для меня — достоинство.
Вот благодаря таким достоинствам линукс и будет разве что в ADSL-роутерах популярным. Платформа, которая принципиально не предоставляет элементарных удобств (да, в том числе и CD по хоткею выплевывать) обречена в лучшем случае остаться гикской.
Q>Вот благодаря таким достоинствам линукс и будет разве что в ADSL-роутерах популярным. Платформа, которая принципиально не предоставляет элементарных удобств (да, в том числе и CD по хоткею выплевывать) обречена в лучшем случае остаться гикской.
Да мне, если честно, пофиг. Хоть гикской ее назови, хоть мачтовой, хоть шкотовой. Мне важно что? Мне, например, важно, что у меня в Винде внешний мульти-кард ридер не работает, не смотря на все усилия (а встроенный я заставил таки работать — после того, как час на это дело убил), а в убунте работает "из коробки".
А эжектор за 9.99 НЕ НУЖЕН. И чем быстрее нынешняя уродливая шаровара умрет, тем скорее воздух станет чище.
Здравствуйте, DorfDepp, Вы писали:
DD>Здравствуйте, quwy, Вы писали: Q>>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения. DD>Мелкому разработчику нужно было "положить" на десктопные приложения еще лет 10 н азад и полностью уйти в веб. Устанавливаемые программульки мало кому нужны сегодня из конечных пользователей.
Ну во-первых это крайне спорное утвержение. Нормальный софт не нужен только тем, кто кроме вконтакта ничего не знает и знать не желает. А во-вторых, "устанавливаемая программулька" -- это инструмент для администратора web-сервера.
Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом...
Здравствуйте, quwy, Вы писали:
Q>И хотя к вопросу это не относится, ИМХО, именно поэтому большинство линуксовых программ выглядят как атомная война или требуют недельного курения манов перед тем как взлететь. У разработчиков простых и удобных инструментов просто нет шанса заработать на таком рынке. И как следствие -- доля линукса на десктопах в пределах статистической погрешности.
Тупо берёшь и продаёшь. Какие проблемы?
http://www.humblebundle.com/ — линуксовые пользователи с удовольствием платят за игры, причём заметно больше виндовых и маковских.
Конкетно если "софт для администраторов", то планка поставлена достаточно высоко тем же webmin'ом.
Здравствуйте, Vamp, Вы писали:
V>Да мне, если честно, пофиг. Хоть гикской ее назови, хоть мачтовой, хоть шкотовой. Мне важно что? Мне, например, важно, что у меня в Винде внешний мульти-кард ридер не работает, не смотря на все усилия (а встроенный я заставил таки работать — после того, как час на это дело убил), а в убунте работает "из коробки".
У меня с бесперебойником прямо противоположная ситуация. И хоть линукс повседневно не использую, изучение исходников NUT показало что с моим девайсом он работает некорректно.
V>А эжектор за 9.99 НЕ НУЖЕН.
А это должен юзер решать. Другой вопрос, что слова "юзер" и "линукс" в одном предложении смотряться довольно смешно.
V>И чем быстрее нынешняя уродливая шаровара умрет, тем скорее воздух станет чище.
Альтенатива? Практика показала, что на халяву пишется в основном или совсем не пользовательский софт, или откровенные уродцы. Большинство удачных опенсорсных проектов (FF, OO) были подарены коммерческими конторами и только поэтому ими хоть пользоваться можно. В линуксе есть хоть один адекватный CD-writer, который прямо из GUI с невырвиглазным интерфейсом позволяет записать диск без предварительного онанизма с созданием ISO-образа (совсем без создания, работающий при одном мегабайте свободного места на HDD)?
Здравствуйте, DorfDepp, Вы писали:
Q>>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом... DD>Расскажи это Джоэлю Спольски и Марку Цукербергу.
Кто все эти люди?
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, DorfDepp, Вы писали:
Q>>>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом... DD>>Расскажи это Джоэлю Спольски и Марку Цукербергу. Q>Кто все эти люди?
Здравствуйте, DorfDepp, Вы писали:
Q>>>>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом... DD>>>Расскажи это Джоэлю Спольски и Марку Цукербергу. Q>>Кто все эти люди? DD>"Вебдванольщики", заработавшие больше тебя.
Ну во-первых вы не знаете ничего о моих доходах, а во-вторых проститутки тоже могут неплохо закалачивать, только это не повод идти на панель.
Аргументов по сути вопрроса у вас нет, свое спорное мнение вы высказали, всего доброго.
Здравствуйте, quwy, Вы писали:
q> Вот благодаря таким достоинствам линукс и будет разве что в ADSL-роутерах популярным. Платформа, которая принципиально не предоставляет элементарных удобств (да, в том числе и CD по хоткею выплевывать) обречена в лучшем случае остаться гикской.
Ох, вот тут ты не прав. Я просто офигел, когда увидел поддержку монтирования образов дисков в гномовском наутилусе. Под виндами я эти виртуализаторы искал, выбирал, ставил, а тут все из коробки. И FTP монтируется, ну красота да и только И хоткеи, кстати, настраиваются, и эджект по хоткею работает (Keyboard Shortcuts). Вообще, Убунта уже стала дружелюбнее виндов, это я как виндопользователь со стажем от 3.11 говорю.
Здравствуйте, DorfDepp, Вы писали:
DD> Q>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом...
DD> Расскажи это Джоэлю Спольски и Марку Цукербергу.
Здравствуйте, DorfDepp, Вы писали:
DD> DD>>Расскажи это Джоэлю Спольски и Марку Цукербергу.
DD> Q>Кто все эти люди?
DD> "Вебдванольщики", заработавшие больше тебя.
Я так понимаю, что теперь каждый вебдванольщик мечтает написать свой фейсбук Удачи им всем
Здравствуйте, quwy, Вы писали:
q> он был написан для внутреннего использования, но оказался потенциально весьма востребован среди администраторов сайтов.
Здравствуйте, quwy, Вы писали:
q> В линуксе есть хоть один адекватный CD-writer, который прямо из GUI с невырвиглазным интерфейсом позволяет записать диск без предварительного онанизма с созданием ISO-образа (совсем без создания, работающий при одном мегабайте свободного места на HDD)?
А тут ключевое слово какое? "невырвиглазным" или "при одном мегабайте свободного места"? Первое — вкусовщина. Второе — я плохо себе представляю прожигатель дисков, который предварительно создает полный образ — это же какие тормоза будут?!
Здравствуйте, DorfDepp, Вы писали:
Q>>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом...
DD>Расскажи это Джоэлю Спольски и Марку Цукербергу.
А как только что-то сложнее продвинутого форума так сразу начинается десктоп. Гугл со своими пикассами, Earth и прочеим тому подтверждение.
V>>И чем быстрее нынешняя уродливая шаровара умрет, тем скорее воздух станет чище. Q>Альтенатива? Практика показала, что на халяву пишется в основном или совсем не пользовательский софт, или откровенные уродцы.
Меня устраивает. Среди программ, которыми я ежедневно пользуюсь дома, нет ни одной платной, кроме Тотального Командира (реально гениальная вещь, единственная в своем роде) и собственно Винды.
Q>Большинство удачных опенсорсных проектов (FF, OO) были подарены коммерческими конторами и только поэтому ими хоть пользоваться можно.
Лучше VLAN DVD Player не знаю ничего.
Q>В линуксе есть хоть один адекватный CD-writer, который прямо из GUI с невырвиглазным интерфейсом позволяет записать диск без предварительного онанизма с созданием ISO-образа (совсем без создания, работающий при одном мегабайте свободного места на HDD)?
Черт его знает, что там в бекграунде — но в той же Убунте файлы пишутся перетаскиванием. Если я ничего не путаю, конечно.
Q>>>Ох уж эти вебдванольщики, совсем от реальности оторвались со своим интернетом...
DD>>Расскажи это Джоэлю Спольски и Марку Цукербергу.
YKU>А как только что-то сложнее продвинутого форума так сразу начинается десктоп. Гугл со своими пикассами, Earth и прочеим тому подтверждение.
И то и другое и google sketchup они купили. Приходится развивать
Q>>Большинство удачных опенсорсных проектов (FF, OO) были подарены коммерческими конторами и только поэтому ими хоть пользоваться можно. V>Лучше VLAN DVD Player не знаю ничего.
Q>>В линуксе есть хоть один адекватный CD-writer, который прямо из GUI с невырвиглазным интерфейсом позволяет записать диск без предварительного онанизма с созданием ISO-образа (совсем без создания, работающий при одном мегабайте свободного места на HDD)? V>Черт его знает, что там в бекграунде — но в той же Убунте файлы пишутся перетаскиванием. Если я ничего не путаю, конечно.
Не знаю, как сейчас, но раньше это был встроенная в Gnome и соответсвено в Nautilus писалка. Там не было даже кнопки "burn" или какой-либо индикации о том, сколько свободного места осталось.
Здравствуйте, DorfDepp, Вы писали:
DD>Мелкому разработчику нужно было "положить" на десктопные приложения еще лет 10 назад и полностью уйти в веб. Устанавливаемые программульки мало кому нужны сегодня из конечных пользователей.
Побывал бы тех, кто так думает и продвигает эту идею.
Здравствуйте, Mamut, Вы писали:
YKU>>А как только что-то сложнее продвинутого форума так сразу начинается десктоп. Гугл со своими пикассами, Earth и прочеим тому подтверждение.
M>И то и другое и google sketchup они купили. Приходится развивать
Зачем покупали? Кому/почему приходится, чё-б не закрыть, как туеву хучу купленных проектов?
Чё-то логика от меня ускользает вообще.
Re[2]: Без ошибки как должен был топик называться...
Здравствуйте, Anton Batenev, Вы писали:
q>> он был написан для внутреннего использования, но оказался потенциально весьма востребован среди администраторов сайтов. AB>"Администратор сайта" — это кто, чем занимается?
Ладно, раз так, то продукт -- эффективный DDoS-фильтр для HTTP-ресурса. Работает в сервисе интернет-магазинов уже год и поэтому можно делать выводы. Это не тот позорный башевский скрипт, который валяется на всех помойках, работает по принципу парсинга вывода netstat и не отличает входящие подключения от исходящих. Это полноценный демон, работающий по нескольким статистическим алгоритмам и встраиваемый по принципу реверсивного прокси. Поднимается за пять минут и не требует вмешательства в конфигурацию web-сервера (разве что порт изменить, если на той же машине поднимать). Позволяет силами простого одноядерного Athlon64 сохранять работоспособность web-сайта при 20000 паразитных запросах в секунду от ботнета размером до нескольких сотен тысяч машин.
Пердвосхищая вопрос об эффективности такой фильтрации сразу отвечаю, что за время эксплуатации было отражено более двадцати атак и ни одна даже на половину не загрузила обычный 100-мегабитный канал. Целью атаки всегда была попытка парализовать работу Apache (нечасто) или MySQL (чаще всего). Так что для подавляющего большинства случаев программа вполне эффективна.
YKU>>>А как только что-то сложнее продвинутого форума так сразу начинается десктоп. Гугл со своими пикассами, Earth и прочеим тому подтверждение.
M>>И то и другое и google sketchup они купили. Приходится развивать
YKU>Зачем покупали?
Чтобы было? На этот вопрос сложно ответить.
YKU>Кому/почему приходится, чё-б не закрыть, как туеву хучу купленных проектов?
earth и picasa притягивают пользователей, а sketchup вдобавок еще и вполне платным продуктом является.
Здравствуйте, quwy, Вы писали:
q> Пердвосхищая вопрос об эффективности такой фильтрации сразу отвечаю, что за время эксплуатации было отражено более двадцати атак и ни одна даже на половину не загрузила обычный 100-мегабитный канал.
Несколько вопросов:
1) Перед apache установлен nginx?
2) Не совсем понял при чем здесь MySQL, если речь идет о HTTP?
3) Совсем не понятно, как данный фильтр справляется с загрузкой канала? Дело в том, что трафик уже пришел и уже загрузил канал — фильтр может только отбросить пакеты, но от загрузки канала это не спасает.
4) Что может такого фильтр, чего не может iptables?
5) Фильтр работает в режиме ядра или пользовательском?
6) О каком башевском скрипте идет речь?
7) "20К паразитных запросов в секунду" — какова вероятность ложного срабатывания и как это определялось? Что именно понимается под словом "запрос" (полноценный HTTP запрос или попытка установки соединения или что-то еще)?
8) И, наверное, самое важное. Согласно стартовому сообщению, потенциальная аудитория — это владельцы небольших интернет магазинов. Обычно такие магазины располагаются на shared-хостинге, на котором они "бесправные поинты". Каким образом они смогут воспользоваться продуктом при таких раскладах?
Здравствуйте, Anton Batenev, Вы писали:
AB>Несколько вопросов:
AB>1) Перед apache установлен nginx?
Это не важно, статику как правило никто не атакует, так что все запросы все равно уйдут на апач.
AB>2) Не совсем понял при чем здесь MySQL, если речь идет о HTTP?
За почти любым HTTP-запросом стоит один или несколько запросов к базе. В итоге, при атаке, MySQL как правило ложится первым и сайт перестает работать.
AB>3) Совсем не понятно, как данный фильтр справляется с загрузкой канала? Дело в том, что трафик уже пришел и уже загрузил канал — фильтр может только отбросить пакеты, но от загрузки канала это не спасает.
Я же сказал, что опыт показал почти полное отсутствие атак, способных забить стомегабитный канал. А вот уложить СУБД можно даже субмегабитным потоком запросов, благо производительность MySQL и традиционно отвратительный дизайн базы средего сайта весьма этому способствуют.
AB>4) Что может такого фильтр, чего не может iptables?
Он работает автоматически. Статистическими методами выявляет ботов прямо в процессе обработки подключений/запросов и банит их (то есть в реальном времени и системный firewall при этом не используется). При отсутствии акивности, адреса через заданное время разблокируются тоже автоматом. Короче запустил и забыл.
AB>5) Фильтр работает в режиме ядра или пользовательском?
Пользовательском, продавать отдельный патч ядра -- безумие, мне даже в голову такое не пришло бы.
AB>6) О каком башевском скрипте идет речь?
Ищется по фразе типа "скрипт анти-ddos".
AB>7) "20К паразитных запросов в секунду" — какова вероятность ложного срабатывания и как это определялось?
Вероятность зависит от многих факторов. Реально бывало, что пользователи банились, но анализ причины показывал или наличие ботов на их машинах, или идиотские настройки браузеров (открывали по сотне одновременных подключений).
AB>Что именно понимается под словом "запрос" (полноценный HTTP запрос или попытка установки соединения или что-то еще)?
Когда адрес в черном списке, он может только попытаться подключиться, послать запрос ему уже никто не даст. А в список бот попадает за пару минут максимум.
AB>8) И, наверное, самое важное. Согласно стартовому сообщению, потенциальная аудитория — это владельцы небольших интернет магазинов. Обычно такие магазины располагаются на shared-хостинге, на котором они "бесправные поинты". Каким образом они смогут воспользоваться продуктом при таких раскладах?
Как я сказал выше, в большинстве случаев используется жиденький поток запросов, просто приводящий к ступору мускула (сотня-другая хостов). Отфильтровать это можно даже на VPS, хотя железный сервер конечно эффективнее.
Здравствуйте, Mamut, Вы писали:
M>earth и picasa притягивают пользователей, а sketchup вдобавок еще и вполне платным продуктом является.
А вы в своём фирменном стиле:
— Всё в Веб, десктоп не нужен, пользователи не хотят качать и инсталиить..
— А вот десктоп и вот десктоп и вон там еще...
— А, это не в счёт, они нужны, что-бы притягивать пользователей.
Q>В линуксе есть хоть один адекватный CD-writer, который прямо из GUI с невырвиглазным интерфейсом позволяет записать диск без предварительного онанизма с созданием ISO-образа (совсем без создания, работающий при одном мегабайте свободного места на HDD)?
Чем тебе стандартный Brasero не нравится? Не знаю, создает он там что-то, или нет(я уже лет 5 не юзаю диски вообще), но с виду вроде адекватный. Уж всяко получше последних Неро, в которых от обилия свистоперделок рябит в глазах.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, quwy, Вы писали:
q> AB>Несколько вопросов: q> AB>1) Перед apache установлен nginx? q> Это не важно, статику как правило никто не атакует, так что все запросы все равно уйдут на апач.
.
Плюс прежде чем уйти на apache, nginx может отфильтровать изначально невалидные запросы.
Плюс он проще переживает т.н. slow post
Ну и т.д.
q> Как я сказал выше, в большинстве случаев используется жиденький поток запросов, просто приводящий к ступору мускула (сотня-другая хостов). Отфильтровать это можно даже на VPS, хотя железный сервер конечно эффективнее.
И опять же очень странное позиционирование — с одной стороны, решение работоает только для небольших сайтов и маленькой нагрузке, с другой стороны, оно хочет VPS или выделенный сервер. Получается противоречие.
M>>earth и picasa притягивают пользователей, а sketchup вдобавок еще и вполне платным продуктом является.
YKU>А вы в своём фирменном стиле:
YKU>- Всё в Веб, десктоп не нужен, пользователи не хотят качать и инсталиить.. YKU>- А вот десктоп и вот десктоп и вон там еще... YKU>- А, это не в счёт, они нужны, что-бы притягивать пользователей.
YKU>
Мнээээ. Первая фраза, которая мне приписывается, мною произнесена не была. Так что — в сад.
Здравствуйте, Mamut, Вы писали:
M>Мнээээ. Первая фраза, которая мне приписывается, мною произнесена не была. Так что — в сад.
Ну да. Продолжение:
Первый: 2+2=5 Второй: Вызнаете, всё-таки 2+2=4 Mamut: Второй, вы не правы, не четыре. так исторически сложилось. Второй: Вы знаете, всё-таки четыре. Доказательство , доказательство 2. Так что ну никак не пять. Mamut: Первая фраза, которая мне приписывается, мною произнесена не была. Все — в сад, а я — дАртаньян.
Здравствуйте, quwy, Вы писали:
Q>Ладно, раз так, то продукт -- эффективный DDoS-фильтр для HTTP-ресурса.
ИМХО, тут думать не о чем. Коробку ты все равно не продашь, не тот рынок. Поэтому продукт в open source. Лицензию подобрать аккуратно, так чтобы в дистрибутивы он не попал. С одной стороны это создаст вокруг продукта сообщество и позволит тебе держаться в курсе, с другой, обеспечит рекламу. Затем десяток статей, пара подкастов, блог и ты уже уважаемый человек. Доверие людей легче превратить в деньги чем продукт. Оказывай услуги по защите от DDoS атак. Обычно, после того как владелец сайта посчитает сколько он теряет из-за этой атаки, он легко расстается с деньгами чтобы только она прекратилась.
M>>Мнээээ. Первая фраза, которая мне приписывается, мною произнесена не была. Так что — в сад.
YKU>Ну да. Продолжение:
YKU>Первый: 2+2=5 YKU>Второй: Вызнаете, всё-таки 2+2=4 YKU>Mamut: Второй, вы не правы, не четыре. так исторически сложилось. YKU>Второй: Вы знаете, всё-таки четыре. Доказательство , доказательство 2. Так что ну никак не пять. YKU>Mamut: Первая фраза, которая мне приписывается, мною произнесена не была. Все — в сад, а я — дАртаньян.
Слушай, иди в дет. сад. Ну или туда, где логику хотя бы элементарную учат
Здравствуйте, quwy, Вы писали:
Q>Наверное надо было в "шаровару", но чую, что все равно тут тема окажется.
Q>Ситуация: есть продукт, написанный для Linux. Предназначение продукта не важно, важно что он был написан для внутреннего использования, но оказался потенциально весьма востребован среди администраторов сайтов. Но администраторов не корпоративных порталов, а всякой мелкой шелупонью от школьника-кулхацкера до конторки из пяти человек по продаже маек в интернете (это максимум).
Q>Теперь сабж: как монетизировать потенциальный спрос?
Q>Если выпустить продукт под свободной лицензией как donationware, то не дождусь ни копейки (во-первых уже есть опыт, а во-вторых см. целевую аудиторию). Можно сделать защиту и продавать как shareware, но тут всерьез встает проблема линуксового менталитета (софт должен быть бесплатным и в исходниках, точка). Продавать поддержку бесперспективно, т.к. продукт весьма прост в использовании.
Q>И вот что получается: Linux просто не оставляет шансов мелкому разработчику заработать на сравнительно простом софте широкого назначения. Даже если аналогов нет. Даже если продукт реально нужен хоть небольшой, но ненулевой прослойке пользователей системы. Если сам не используешь Linux как бизнес-инструмент, то под него экономически оправдано писать только сложных запутанных монстров, в которых без поддержки никто не разберется. Или же нужно самому быть монстром типа Оракла, и зарабатывать в основном благодаря стараниям раздутого юридического отдела.
Q>И хотя к вопросу это не относится, ИМХО, именно поэтому большинство линуксовых программ выглядят как атомная война или требуют недельного курения манов перед тем как взлететь. У разработчиков простых и удобных инструментов просто нет шанса заработать на таком рынке. И как следствие -- доля линукса на десктопах в пределах статистической погрешности.
Простую программу можно либо запрограммировать скриптами, либо просто взять, написать и выложить под свободной лицензией. У шароварщика преимуществ перед такой программой будет мало. Более вылизанный интерфейс, хорошая справка, чуть меньше багов, это в лучшем случае. Готов ли пользователь платить за чуть более вылизанный интерфейс, если есть худшая, но свободная альтернатива? Не готов.
К тому же у любого нормального пользователя Linux врожденная неприязнь к несвободному ПО. А платить деньги за то, что вы отбираете у него свободу? Это вообще ни к селу, ни к городу.
Поэтому таки да, в нише примитивного софта для Linux заработать сложно. По крайней мере пока Linux остаётся операционной системой преимущественно для умных компьютерно грамотных людей.
А жалеть линуксоидов не надо, по-моему большинство текущая ситуация устраивает полностью. Поддержка железа уже намного лучше, чем в Windows, весь нужный софт есть, аудитория нормальная. Не нужны тут 99% "хомячков", платящих за сиди-эджекторы. От них только хуже.
Здравствуйте, vsb, Вы писали:
vsb>Готов ли пользователь платить за чуть более вылизанный интерфейс, если есть худшая, но свободная альтернатива?
Готов. За игрушки же они платят не хуже прочих. За скины, скринсейверы и прочий арт тоже готов, только никто пока не продает. За специфические задачи, типа полностью совместимого с виндовым клиентом RDP сервера тоже готов.
vsb>К тому же у любого нормального пользователя Linux врожденная неприязнь к несвободному ПО. А платить деньги за то, что вы отбираете у него свободу? Это вообще ни к селу, ни к городу.
Деньги платят не за то, что отнимают свободу, а за то, что снимают головняки. Большинство серьезного софта под линукс продается за деньги, только деньги платятся не столько за коробку, сколько за саппорт. Вплоть до специального человечка, который залезет по SSH на твой сервер, обновит ядро и поставит купленную программу. Отсюда же и неприязнь к шароварам, потому как есть обоснованное подозрение что головняки оно не снимает, а вовсе даже наоборот. Если в свободном ПО тебя что-то не устраивает, ты либо исправляешь сам, либо просишь разработчиков либо нанимаешь кого-нибудь чтоб он исправил за тебя. С хорошей вероятностью проблема так или иначе решится. С проприетарным ПО ты можешь только поклониться на милость разработчику. Если разработчик пошлет, останется только сушить весла.
Здравствуйте, Anton Batenev, Вы писали:
q>> AB>Несколько вопросов: q>> AB>1) Перед apache установлен nginx? q>> Это не важно, статику как правило никто не атакует, так что все запросы все равно уйдут на апач. AB>Атака на статику apache здесь
.
Неприятно, но можно встроить фильтр на подобные запросы, это вопрос получаса. Конечно, если у злоумышленников хватит ума сэкономить хосты и давить во много потоков, то попадут в бан мигом.
AB>Плюс прежде чем уйти на apache, nginx может отфильтровать изначально невалидные запросы. AB>Плюс он проще переживает т.н. slow post AB>Ну и т.д.
Это все мало имеет отношения к собственно распределенной атаке.
q>> Как я сказал выше, в большинстве случаев используется жиденький поток запросов, просто приводящий к ступору мускула (сотня-другая хостов). Отфильтровать это можно даже на VPS, хотя железный сервер конечно эффективнее. AB>ngx_http_limit_zone_module + ngx_http_limit_req_module?
Проходили, ни то ни другое реально не помогает, когда кулхацкеры собирают тысяч десять хостов и каждый шлет один-два запроса в минуту. У нас же даже если они будут раз в час обращаться к серверу, все равно в бан попадут (при соответствующей настройке и только через несколько часов, когда статистика накопится).
AB>И опять же очень странное позиционирование — с одной стороны, решение работоает только для небольших сайтов и маленькой нагрузке
Двадцать тысяч запросов в секунду -- это не совсем маленькая нагрузка. Что до размера сайтов, то такая атака успешно кладет на лопатки и тех, кто по несколько тысяч долларов в день дохода имеет. Эти заплатили бы, но мои сомнения изложены в первом сообщении.
AB>с другой стороны, оно хочет VPS или выделенный сервер. Получается противоречие.
Частично получается, но тут логика простая: когда клиента начинают давить, хостинг его мигом выключает и у того появляется необходимость мигрировать. Если на другой хостинг, то он имеет шанс стать моим клиентом (публичный сервис защиты на базе этого продукта уже почти запущен). Если на сервер -- то теоретически можно впарить ему саму программу.
Здравствуйте, vsb, Вы писали:
vsb>Простую программу можно либо запрограммировать скриптами, либо просто взять, написать и выложить под свободной лицензией. У шароварщика преимуществ перед такой программой будет мало. Более вылизанный интерфейс, хорошая справка, чуть меньше багов, это в лучшем случае. Готов ли пользователь платить за чуть более вылизанный интерфейс, если есть худшая, но свободная альтернатива? Не готов.
Зависит от клиента. В винде тоже дофига бесплатных программ, от которых тем не менее юзера отказываются и переходят на платные. Мой последний случай: отказался от одной бесплатной программы для TV-тюнера ради двух платных (отдельно для TV и ДУ). Потому что все бесплатное на этом рынке (часто даже open source) -- это такое глючное и вырвиглазное г..., что просто выть хочется. Причем в процессе реального боевого использования эволюция мнения о этих продуктах всегда проста, от "Вау, столько тут всего, да еще и халява!" как-то плавненько до "Блин, как этим можно пользоваться вообще, кто и для кого это писал?!".
В линуксе же по описанной мной причине, ничего кроме одной-двух таких же глючных и страшных студенческих поделок просто нет, ни даром, ни за деньги. И это для платформы в целом очень вредно, можно даже сказать -- фатально.
vsb>К тому же у любого нормального пользователя Linux врожденная неприязнь к несвободному ПО. А платить деньги за то, что вы отбираете у него свободу? Это вообще ни к селу, ни к городу.
Я надеюсь на то, что если линукс используется для получения выгоды, то вопросы "свободы" уходят на второй план. По моим наблюдениям особенно быстро они уходят когда сайт уже лежит и счетчик убытков щелкает быстрее, чем секундная стрелка. Хотя видел я и пару неадекватных админов, которые ради этой свободы готовы были контору по миру пустить (начальство как правило в вопросе не рубит и это вполне реально).
vsb>А жалеть линуксоидов не надо, по-моему большинство текущая ситуация устраивает полностью. Поддержка железа уже намного лучше, чем в Windows, весь нужный софт есть, аудитория нормальная. Не нужны тут 99% "хомячков", платящих за сиди-эджекторы. От них только хуже.
Сейчас сложилась интересная ситуация. Линуксом реально каждый день пользуется две примерно равных по численности группы людей: собственно линуксоиды (тут все понятно), и диаметрально противоположная прослойка ламеров, которые вообще не знают что такое операционная система, они просто купили самый дешевый нетбук и сидят с него в своем любимом вконтакте. Так вот, среди вторых есть, хоть и очень малый, процент таких, которые со временем узнают, что кроме браузера и вконтакта компьютер умеет много чего еще. И захотев однажды просто порубиться в "Сталкера" они вдруг узнают, что на их компе это не может заработать никак. А разобравшись в причинах проблемы, получают отличную прививку вакциной под названием "Linux пригоден только для того, чтобы на вконтактах сидеть".
Здравствуйте, quwy, Вы писали:
Q>Сейчас сложилась интересная ситуация. Линуксом реально каждый день пользуется две примерно равных по численности группы людей: собственно линуксоиды (тут все понятно), и диаметрально противоположная прослойка ламеров, которые вообще не знают что такое операционная система, они просто купили самый дешевый нетбук и сидят с него в своем любимом вконтакте. Так вот, среди вторых есть, хоть и очень малый, процент таких, которые со временем узнают, что кроме браузера и вконтакта компьютер умеет много чего еще. И захотев однажды просто порубиться в "Сталкера" они вдруг узнают, что на их компе это не может заработать никак. А разобравшись в причинах проблемы, получают отличную прививку вакциной под названием "Linux пригоден только для того, чтобы на вконтактах сидеть".
К слову, как раз Сталкер прекрасно идет под линуксом. Я сразу после выпуска второго "портала" отлично гамился в него из-под линукса дома(это к слову о новых играх). И так очень много игрушек. Сейчас даже студия(правда, не самая новая, 2005) запускается под линуксом, пока глюкаво, но обещают допилить.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>К слову, как раз Сталкер прекрасно идет под линуксом. Я сразу после выпуска второго "портала" отлично гамился в него из-под линукса дома(это к слову о новых играх). И так очень много игрушек. Сейчас даже студия(правда, не самая новая, 2005) запускается под линуксом, пока глюкаво, но обещают допилить.
Оно запускается, но при этом постоянно глючит, падает и дико (по сравнению с запуском прямо в винде) тормозит. Сложные GUI-программы при этом еще и выглядят соответствующе. Я уже молчу про неломаные игрушки со старфорсами всякими.
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, vsb, Вы писали:
vsb>>Простую программу можно либо запрограммировать скриптами, либо просто взять, написать и выложить под свободной лицензией. У шароварщика преимуществ перед такой программой будет мало. Более вылизанный интерфейс, хорошая справка, чуть меньше багов, это в лучшем случае. Готов ли пользователь платить за чуть более вылизанный интерфейс, если есть худшая, но свободная альтернатива? Не готов. Q>Зависит от клиента. В винде тоже дофига бесплатных программ, от которых тем не менее юзера отказываются и переходят на платные. Мой последний случай: отказался от одной бесплатной программы для TV-тюнера ради двух платных (отдельно для TV и ДУ). Потому что все бесплатное на этом рынке (часто даже open source) -- это такое глючное и вырвиглазное г..., что просто выть хочется. Причем в процессе реального боевого использования эволюция мнения о этих продуктах всегда проста, от "Вау, столько тут всего, да еще и халява!" как-то плавненько до "Блин, как этим можно пользоваться вообще, кто и для кого это писал?!".
Q>В линуксе же по описанной мной причине, ничего кроме одной-двух таких же глючных и страшных студенческих поделок просто нет, ни даром, ни за деньги. И это для платформы в целом очень вредно, можно даже сказать -- фатально.
Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Популярные программы вылизаны и отлажены. Я работал под линуксом около двух лет, и ни разу меня не напрягало отсутствие какой то программы. Сейчас таки да, сижу под вендой дома, потому что играюсь в warcraft и смотрю фильмы, windows для warcraft-а подходит лучше, благо у меня осталась лицензия с универа.
vsb>>К тому же у любого нормального пользователя Linux врожденная неприязнь к несвободному ПО. А платить деньги за то, что вы отбираете у него свободу? Это вообще ни к селу, ни к городу. Q>Я надеюсь на то, что если линукс используется для получения выгоды, то вопросы "свободы" уходят на второй план. По моим наблюдениям особенно быстро они уходят когда сайт уже лежит и счетчик убытков щелкает быстрее, чем секундная стрелка. Хотя видел я и пару неадекватных админов, которые ради этой свободы готовы были контору по миру пустить (начальство как правило в вопросе не рубит и это вполне реально).
Вопрос свободы это не единственный критерий, и даже не самый важный, но он имеет достаточно большой вес, чтобы про него не забывать. Во-первых любому нормальному человеку приятно, когда он использует софт, автор которого не жмот. Чисто по-человески. Во-вторых свободный софт умирает гораздо реже, чем проприетарный. Создатель программульки ушёл на другую работу, или умер, и всё, программа заброшена, баги копятся, новые версии ОС поддерживаются всё хуже. В случае свободной программы, нужной кому-либо, добровольцы подхватить и сделать форк всегда найдутся.
Если свободная программа не обеспечивает нужного функционала, это другой вопрос. Где то и оракл нужно ставить и использовать. Но если можно — лучше postgres.
vsb>>А жалеть линуксоидов не надо, по-моему большинство текущая ситуация устраивает полностью. Поддержка железа уже намного лучше, чем в Windows, весь нужный софт есть, аудитория нормальная. Не нужны тут 99% "хомячков", платящих за сиди-эджекторы. От них только хуже. Q>Сейчас сложилась интересная ситуация. Линуксом реально каждый день пользуется две примерно равных по численности группы людей: собственно линуксоиды (тут все понятно), и диаметрально противоположная прослойка ламеров, которые вообще не знают что такое операционная система, они просто купили самый дешевый нетбук и сидят с него в своем любимом вконтакте. Так вот, среди вторых есть, хоть и очень малый, процент таких, которые со временем узнают, что кроме браузера и вконтакта компьютер умеет много чего еще. И захотев однажды просто порубиться в "Сталкера" они вдруг узнают, что на их компе это не может заработать никак. А разобравшись в причинах проблемы, получают отличную прививку вакциной под названием "Linux пригоден только для того, чтобы на вконтактах сидеть".
Сталкер на самом дешёвом нетбуке? По-моему и под вендой не взлетит
Здравствуйте, vsb, Вы писали:
vsb>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет.
А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>Популярные программы вылизаны и отлажены.
Ну да. Даже флагман open-source -- "наше все" FireFox нифига не вылизан, тормозит и память жрет гигами.
vsb>Вопрос свободы это не единственный критерий, и даже не самый важный, но он имеет достаточно большой вес, чтобы про него не забывать. Во-первых любому нормальному человеку приятно, когда он использует софт, автор которого не жмот. Чисто по-человески.
Автору любого софта жрать что-то надо. Я выпустил под free и GPL несколько продуктов, так я с них не поимел ни копейки, хоть они лежат в каждой помойке, постоянно публикуются на журнальных CD, в гугле всплывают по первым буквам названия, и мне на почту каждый день падает тот или иной вопрос по их использованию. Например, я в свое время выпустил тестовую программу, не имеющую ни одного вменяемого аналога, халявную для home use и нехалявную для commercial. И что? Скачана не менее миллиона раз, имеет рейтинг 4.65 на MajorGeeks, реально куча народу ее использовала, но дебет = 0 руб 00 коп. Пришлось выбросить под GPL и забыть.
vsb>Во-вторых свободный софт умирает гораздо реже, чем проприетарный. Создатель программульки ушёл на другую работу, или умер, и всё, программа заброшена, баги копятся, новые версии ОС поддерживаются всё хуже. В случае свободной программы, нужной кому-либо, добровольцы подхватить и сделать форк всегда найдутся.
Найдутся, только первоначальному разработчику, который в итоге тупо подох с голоду, от этого не легче.
vsb>Если свободная программа не обеспечивает нужного функционала, это другой вопрос. Где то и оракл нужно ставить и использовать. Но если можно — лучше postgres.
Конечно лучше, пусть не postgresql, а mysql. И пофиг, что он индекс удаляет с пересозданием таблицы
, халява же!
vsb>Сталкер на самом дешёвом нетбуке? По-моему и под вендой не взлетит
Взлетит, хоть и не высоко, но речь ведь совсем не об этом, а о том, что любая мало-мальски серьезная задача, которая в винде решается мышкой и десятью баксами, в линуксе или вообще не решается, или решается на халяву, но через неделю траха с конфигами и командной строкой.
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, vsb, Вы писали:
vsb>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
vsb>>Популярные программы вылизаны и отлажены. Q>Ну да. Даже флагман open-source -- "наше все" FireFox нифига не вылизан, тормозит и память жрет гигами.
Тем не менее он работает отлично, не падает практически никогда. У меня кстати он не тормозит (изредка лочит весь браузер, когда на одной странице что то страшное происходит, но это редко и не смертельно). Памяти у меня хватает, я особо не замечал, чтобы он там что то жрал гигами. Можно использовать Chromium, тоже неплохой браузер.
vsb>>Вопрос свободы это не единственный критерий, и даже не самый важный, но он имеет достаточно большой вес, чтобы про него не забывать. Во-первых любому нормальному человеку приятно, когда он использует софт, автор которого не жмот. Чисто по-человески. Q>Автору любого софта жрать что-то надо. Я выпустил под free и GPL несколько продуктов, так я с них не поимел ни копейки, хоть они лежат в каждой помойке, постоянно публикуются на журнальных CD, в гугле всплывают по первым буквам названия, и мне на почту каждый день падает тот или иной вопрос по их использованию. Например, я в свое время выпустил тестовую программу, не имеющую ни одного вменяемого аналога, халявную для home use и нехалявную для commercial. И что? Скачана не менее миллиона раз, имеет рейтинг 4.65 на MajorGeeks, реально куча народу ее использовала, но дебет = 0 руб 00 коп. Пришлось выбросить под GPL и забыть.
Не спорю, под GPL деньги заработать сложнее, чем с платным софтом. Думаю, основной мотив разработчиков программ под GPL всё же не желание заработать денег. Хотя есть и успешные GPL продукты, на которых зарабатывают деньги, вроде Qt.
vsb>>Во-вторых свободный софт умирает гораздо реже, чем проприетарный. Создатель программульки ушёл на другую работу, или умер, и всё, программа заброшена, баги копятся, новые версии ОС поддерживаются всё хуже. В случае свободной программы, нужной кому-либо, добровольцы подхватить и сделать форк всегда найдутся. Q>Найдутся, только первоначальному разработчику, который в итоге тупо подох с голоду, от этого не легче.
А GPL не для разработчика. Она для пользователя сделана. Разработчику её вирусность зачастую только мешает. И вообще в идеальном мире Столлмана, как мне кажется, есть куча GPL-only библиотек, которые по сути будут заставлять разработчиков писать новые программы под GPL.
vsb>>Если свободная программа не обеспечивает нужного функционала, это другой вопрос. Где то и оракл нужно ставить и использовать. Но если можно — лучше postgres. Q>Конечно лучше, пусть не postgresql, а mysql. И пофиг, что он индекс удаляет с пересозданием таблицы
mysql та ещё поделка. А это проблема не конкретного движка? Там же их много.
vsb>>Сталкер на самом дешёвом нетбуке? По-моему и под вендой не взлетит Q>Взлетит, хоть и не высоко, но речь ведь совсем не об этом, а о том, что любая мало-мальски серьезная задача, которая в винде решается мышкой и десятью баксами, в линуксе или вообще не решается, или решается на халяву, но через неделю траха с конфигами и командной строкой.
Если бы это было так, линуксом не пользовалось бы столько народу. Пользуются же. Я года два использовал исключительно его, ни разу не было нерешаемых проблем, либо решаемых недельным трахом с конфигами.
vsb>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
Здравствуйте, vsb, Вы писали:
vsb>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
99% луноходов это 1% от всего рынка. А вот Пети это оставшиеся 99%.
Здравствуйте, quwy, Вы писали:
q> Проходили, ни то ни другое реально не помогает, когда кулхацкеры собирают тысяч десять хостов и каждый шлет один-два запроса в минуту. У нас же даже если они будут раз в час обращаться к серверу, все равно в бан попадут (при соответствующей настройке и только через несколько часов, когда статистика накопится).
Т.е. несколько часов сайт будет лежать?
Но за несколько часов я и так узнаю, что у меня лег сайт (мониторинг оповестит), сделаю несколько запросов к логам и забаню руками большую часть нарушителей.
q> Частично получается, но тут логика простая: когда клиента начинают давить, хостинг его мигом выключает и у того появляется необходимость мигрировать. Если на другой хостинг, то он имеет шанс стать моим клиентом (публичный сервис защиты на базе этого продукта уже почти запущен). Если на сервер -- то теоретически можно впарить ему саму программу.
Опять же противоречие. Всякая "мелкая шелупонь от школьника-кулхацкера до конторки из пяти человек по продаже маек в интернете (это максимум)" (цитата из первого поста) обычно не имеет возможности никуда мигрировать, а когда такая возможность появляется (когда магазин начинает приносить сопоставимый доход), то просто нанимают удаленного админа (на постоянку или по мере возникновения вопросов).
З.Ы. Я не против — каждый зарабатывает как может, но у меня осталось устойчивое впечатление, что или продукт неверно позиционируется или он не обеспечивает заявленной функциональности. Я, как потенциальный потребитель, имеющий на обслуживании достаточно большое количество серверов и сайтов, так и не смог понять, какие же плюшки я от него могу получить.
Здравствуйте, Mamut, Вы писали:
M> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят. Однако, интерактивные GUI надстройки так же существуют, как и различные "упрощаторы" для настройки iptables из консоли. Более того, существуют даже dummy-режимы, в которых достаточно проставить галочки напротив тех служб, которые нужно разрешить/запретить.
Здравствуйте, Anton Batenev, Вы писали:
q>> Проходили, ни то ни другое реально не помогает, когда кулхацкеры собирают тысяч десять хостов и каждый шлет один-два запроса в минуту. У нас же даже если они будут раз в час обращаться к серверу, все равно в бан попадут (при соответствующей настройке и только через несколько часов, когда статистика накопится). AB>Т.е. несколько часов сайт будет лежать?
При таком сценарии -- да, и тут не поможет вообще ничего, т.к. информации о вредоносных адресах просто нет. Другой вопрос, что такого сценария я еще никогда не видел, и обычно сайт поднимался через 10 минут после включения защиты.
AB>Но за несколько часов я и так узнаю, что у меня лег сайт (мониторинг оповестит), сделаю несколько запросов к логам и забаню руками большую часть нарушителей.
Кого банить? В логе будут сотни тысяч запросов с разных адресов в час. Кто они? Это могут быть и клиенты и боты. Нужно каждый адрес в отдельности проверять, смотреть когда, куда и сколько раз он ходил, и из этого делать выводы. Пока будете руками отслеживать/вбивать один адрес, прибегут еще три новых.
q>> Частично получается, но тут логика простая: когда клиента начинают давить, хостинг его мигом выключает и у того появляется необходимость мигрировать. Если на другой хостинг, то он имеет шанс стать моим клиентом (публичный сервис защиты на базе этого продукта уже почти запущен). Если на сервер -- то теоретически можно впарить ему саму программу. AB>Опять же противоречие. Всякая "мелкая шелупонь от школьника-кулхацкера до конторки из пяти человек по продаже маек в интернете (это максимум)" (цитата из первого поста) обычно не имеет возможности никуда мигрировать, а когда такая возможность появляется (когда магазин начинает приносить сопоставимый доход), то просто нанимают удаленного админа (на постоянку или по мере возникновения вопросов).
Админ -- не волшебник, одно его наличие в такой ситуации ничего не дает.
AB>З.Ы. Я не против — каждый зарабатывает как может, но у меня осталось устойчивое впечатление, что или продукт неверно позиционируется или он не обеспечивает заявленной функциональности. Я, как потенциальный потребитель, имеющий на обслуживании достаточно большое количество серверов и сайтов, так и не смог понять, какие же плюшки я от него могу получить.
Вы реально с полноценными DDoS-атаками сталкивались? Ваши контраргументы (просто посмотрю логи о забаню всех руками) подсказывают мне, что нет. Нельзя руками забанить ботнет в десять-двадцать-пятьдесят тысяч хостов и поддерживать актуальность блеклиста по мере привлечения хакерами свежих ресурсов и просто продвижения светового дня по планете. Это просто физически неосуществимо, даже если нанять десяток людей для круглосуточного анализа логов. Про автоматический разбан тех, кто уже давно не атакует, вы тоже не подумали (а ведь IP-адреса очень даже бывают динамическими). Да и iptables уже при десятке тысяч правил грузит систему весьма заметно. Я в свое время прошел и через попытки анализа логов, и через стандартные возможности nginx, и через бан по регионам, и еще черти через что и могу сказать, что толку с этого всего -- ноль. Пока не привлекли защиту со стороны (тогда это был исследовательский проект МГУ), сайт лежал. Именно это заставило создать свою защиту, которая уже много раз спасала наших клиентов.
Здравствуйте, quwy, Вы писали:
q> Кого банить? В логе будут сотни тысяч запросов с разных адресов в час. Кто они? Это могут быть и клиенты и боты. Нужно каждый адрес в отдельности проверять, смотреть когда, куда и сколько раз он ходил, и из этого делать выводы. Пока будете руками отслеживать/вбивать один адрес, прибегут еще три новых.
grep/awk/sort/uniq/sed творят чудеса в разборе логов
q> Вы реально с полноценными DDoS-атаками сталкивались? Ваши контраргументы (просто посмотрю логи о забаню всех руками) подсказывают мне, что нет.
Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой
q> Нельзя руками забанить ботнет в десять-двадцать-пятьдесят тысяч хостов и поддерживать актуальность блеклиста по мере привлечения хакерами свежих ресурсов и просто продвижения светового дня по планете. Это просто физически неосуществимо, даже если нанять десяток людей для круглосуточного анализа логов.
На практике это вполне доступно и вполне получается. Вот пример одной из атак на графиках:
q> Про автоматический разбан тех, кто уже давно не атакует, вы тоже не подумали (а ведь IP-адреса очень даже бывают динамическими).
Захлебнувшаяся атака редко длится более недели-двух — через пару недель можно просто очистить список блокировок. При большой аудитории потери незаметны, а при малой сразу видны.
q> Да и iptables уже при десятке тысяч правил грузит систему весьма заметно.
На счет iptables не знаю (не было возможности проверить), но ipfw на FreeBSD относится к этому абсолютно ровно.
q> Именно это заставило создать свою защиту, которая уже много раз спасала наших клиентов.
Ну вот как-то я пока не понял, чем она может облегчить задачу, кроме как наличием магических статистических методов с непонятной эффективностью, которые в случае ряда атак абсолютно бесполезны ибо user space.
M>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
AB>Однако, интерактивные GUI надстройки так же существуют, как и различные "упрощаторы" для настройки iptables из консоли. Более того, существуют даже dummy-режимы, в которых достаточно проставить галочки напротив тех служб, которые нужно разрешить/запретить.
Вот об этом мы и говорим, собственно. Не надо рассказывать сказки про «удобство iptables» и «ненужность GUI-настроек» для обыкновенного пользователя.
Здравствуйте, Mamut, Вы писали:
M> AB>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят. M> Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
Хм... А убрать автоматический апдейт из крона?
M> AB>Однако, интерактивные GUI надстройки так же существуют, как и различные "упрощаторы" для настройки iptables из консоли. Более того, существуют даже dummy-режимы, в которых достаточно проставить галочки напротив тех служб, которые нужно разрешить/запретить. M> Вот об этом мы и говорим, собственно. Не надо рассказывать сказки про «удобство iptables» и «ненужность GUI-настроек» для обыкновенного пользователя.
Осталось дать формальное определение "обыкновенного" пользователя Для "обыкновенного пользователя" linux iptables часто вполне удобен (в крайнем случае, shorewall или аналог, если он изначально встроен в систему). Для "обыкновенного пользователя" windows это может быть и не так.
M>> AB>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят. M>> Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
AB>Хм... А убрать автоматический апдейт из крона?
Начнем с начала. Я — обыкновенный пользователь. Какой, к чертям, крон?
M>> AB>Однако, интерактивные GUI надстройки так же существуют, как и различные "упрощаторы" для настройки iptables из консоли. Более того, существуют даже dummy-режимы, в которых достаточно проставить галочки напротив тех служб, которые нужно разрешить/запретить. M>> Вот об этом мы и говорим, собственно. Не надо рассказывать сказки про «удобство iptables» и «ненужность GUI-настроек» для обыкновенного пользователя.
AB>Осталось дать формальное определение "обыкновенного" пользователя Для "обыкновенного пользователя" linux iptables часто вполне удобен (в крайнем случае, shorewall или аналог, если он изначально встроен в систему). Для "обыкновенного пользователя" windows это может быть и не так.
Обыкновенный пользовтаель — это дизайнер, журналист, блондинка-секретарша с вконтактиком, и ты ды и ты пы.
Здравствуйте, Mamut, Вы писали:
vsb>>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
M>Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
Под вендой оно спрашивало каждые 5 минут, в итоге вырабатывается устойчивый рефлекс жать allow на всё моментально. Причём проверено более чем на одном пользователе Какая от такого фаервола защита, я не знаю.
Ещё смешно, когда касперский каждые 5 секунд отражает хакерские атаки.
Здравствуйте, Mamut, Вы писали:
M>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
vsb>>>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>>>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
M>>Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
vsb>Под вендой оно спрашивало каждые 5 минут, в итоге вырабатывается устойчивый рефлекс жать allow на всё моментально. Причём проверено более чем на одном пользователе Какая от такого фаервола защита, я не знаю.
"то — плохой файрвол Под МакОСью у меня LittleSnitch, он уже знает сигнатуры основных программ, поэтому нажимать приходилось намного реже. Но полезно узнать, что GoogleUpdate, собака, в этот интернет лезет просто постоянно.
M>>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
vsb>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
Здравствуйте, Mamut, Вы писали:
M>>>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>>>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
vsb>>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
M>Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
А за чем ещё может лазить программа, не связанная очевидным способом с интернетом, как не за апдейтом? Я вот не знаю, что в линуксе может лазить в интернет, кроме очевидного (браузер, скайп, почтовый клиент, всякие эклипсы во время скачивания плагинов и библиотек). Вроде ничего не должно никуда лазить.
vsb>>>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
M>>Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
vsb>А за чем ещё может лазить программа, не связанная очевидным способом с интернетом, как не за апдейтом? Я вот не знаю, что в линуксе может лазить в интернет, кроме очевидного (браузер, скайп, почтовый клиент, всякие эклипсы во время скачивания плагинов и библиотек). Вроде ничего не должно никуда лазить.
Только что ты уже назвал толпу программ, которые без спросу лезут в интернет Я видел build-скрипты, которые лезут по половине инета, включая какие-то левые сайты, в поисках зависимостей. Разные плагины к разным программам тоже неизвестно, что делают, у куда лезут. Ну и ты ды и ты пы
Здравствуйте, Anton Batenev, Вы писали:
AB>grep/awk/sort/uniq/sed творят чудеса в разборе логов
Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой
Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда?
AB>На практике это вполне доступно и вполне получается. Вот пример одной из атак на графиках: AB>http://st.free-lance.ru/users/abbat/upload/f_4bb3bd500eee2.png
Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
AB>Захлебнувшаяся атака редко длится более недели-двух — через пару недель можно просто очистить список блокировок.
Проблема в том, что атакующие могут и не знать о том, что атака захлебнулась. Они будут сидеть в бане вместе со своими ботами и думать что все идет по плану. По крайней мере атаки длительностью в месяц при полной работоспособности атакуемого сайта у меня были, и иного объяснения этому идиотизму я придумать не смог.
AB>При большой аудитории потери незаметны, а при малой сразу видны.
Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы.
AB>На счет iptables не знаю (не было возможности проверить), но ipfw на FreeBSD относится к этому абсолютно ровно.
Ну тут уже я не могу ничего сказать, в ipfw более десятка правил не делал.
AB>Ну вот как-то я пока не понял, чем она может облегчить задачу, кроме как наличием магических статистических методов с непонятной эффективностью
Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени).
AB>которые в случае ряда атак абсолютно бесполезны ибо user space.
Что вы имеете против юзерспейса? В ряде каких атак это неэффективно?
AB>>grep/awk/sort/uniq/sed творят чудеса в разборе логов Q>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков?
AB>>На практике это вполне доступно и вполне получается. Вот пример одной из атак на графиках: AB>>http://st.free-lance.ru/users/abbat/upload/f_4bb3bd500eee2.png Q>Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь. Да, мой 100-мегабитный канал забивает, но не мешает мне шариться по нету. А это всего-лишь домашний комп, на серваках и каналы, и мощности ну совсем другие.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
Q>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков?
DDoS? В локалке? Вы, батенька, оригинал!
E__>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу.
Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables).
E__>Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь.
Торрент-запрос не ведет к парсингу нескольких SQL-запросов, вычитке записи из базы и выполнении кривого php-кода. Еще раз: положить средний говносайт можно с оного адреса запросто.
E__>Да, мой 100-мегабитный канал забивает, но не мешает мне шариться по нету. А это всего-лишь домашний комп, на серваках и каналы, и мощности ну совсем другие.
Разные уровни обработки запросов просто.
Здравствуйте, quwy, Вы писали:
Q>>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков? Q>DDoS? В локалке? Вы, батенька, оригинал!
ДДос он извне. А серваки в локалке, очень скоростной.
E__>>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Q>Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables).
Положи сначала мой сайт на домашней машине одним хостом. У меня нет никаких проксей, голый выход в инет. Адрес дам. Сайт предоставь на твое усмотрение. Потом поговорим о серваках. Если получится положить на сраной домашней машине.
E__>>Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь. Q>Торрент-запрос не ведет к парсингу нескольких SQL-запросов, вычитке записи из базы и выполнении кривого php-кода. Еще раз: положить средний говносайт можно с оного адреса запросто.
Предложи сайт, поставлю домой. Система не важна, тут и линух, и винда есть, выбирай. Положи его с одного своего хоста — продолжим эксперимент.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, quwy, Вы писали:
q> AB>grep/awk/sort/uniq/sed творят чудеса в разборе логов q> Во-первых не так это просто.
А что в этом сложного? В манах все достаточно подробно.
q> Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда.
Это что же такое должно происходить с сервером, если он не успевает писать логи?
q> А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
Я совсем забыл упомянуть утилиту tail
q> AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой q> Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда?
Тут вариантов много и зависят они от конкретного поведения ботов. Кто-то не умеет отрабатывать редиректы, кто-то не анализирует js, не отрабатывают куки, разные версии браузеров по разному отрабатывают некоторые вещи и т.д.
q> Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
Первая волна с 20 мегабит в штатном режиме до 380 мегабит (в 19 раз).
Вторая с ~3-4K активных соединений до ~75K (так же приблизительно в 19 раз, но там эти соединения в большинстве своем до веб-сервера уже не доходили и сервер нагрузки не испытывал).
Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют).
q> AB>Захлебнувшаяся атака редко длится более недели-двух — через пару недель можно просто очистить список блокировок. q> Проблема в том, что атакующие могут и не знать о том, что атака захлебнулась. Они будут сидеть в бане вместе со своими ботами и думать что все идет по плану. По крайней мере атаки длительностью в месяц при полной работоспособности атакуемого сайта у меня были, и иного объяснения этому идиотизму я придумать не смог.
Ну перед очисткой просто сохранить список, если не угомонились, то загрузить его опять.
q> Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени).
Так нет никакого геморроя и в логах действительно все есть. А вот эффективность закрытой реализации под хорошим вопросом ибо перед глазами исходники nginx, lighttpd, где вопросам эффективности сетевого взаимодействия уделяется огромное количество внимания и конкретную реализацию всегда можно посмотреть (почему реализовано именно так, а не иначе). А здесь пока что черный ящик, который неизвестно как работает, какова его реальная эффективность и сценарий использования.
q> Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы.
Я с такими не работаю
q> AB>которые в случае ряда атак абсолютно бесполезны ибо user space. q> Что вы имеете против юзерспейса? В ряде каких атак это неэффективно?
Например, классический SYN-flood, где до приложения дело даже не доходит (рассуждения про syncookie/syncache оставим пока в стороне).
Здравствуйте, Mamut, Вы писали:
M> AB>Хм... А убрать автоматический апдейт из крона? M> Начнем с начала. Я — обыкновенный пользователь. Какой, к чертям, крон?
Ну возможно в интерфейсе оно будет называться "Планировщиком" или как-то так. GUI тулзы для управления кроном тоже существуют.
Второй вариант — снести из системы автообновлялку (gui менеджер пакетов с поиском и прочим так же существует).
Третий вариант, когда совсем все плохо, позвонить в тех-поддержку.
Здравствуйте, Eugeny__, Вы писали:
Q>>>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>>>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков? Q>>DDoS? В локалке? Вы, батенька, оригинал! E__>ДДос он извне. А серваки в локалке, очень скоростной.
Если локалка не в мир, то откуда DDoS?
E__>>>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Q>>Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables). E__>Положи сначала мой сайт на домашней машине одним хостом. У меня нет никаких проксей, голый выход в инет. Адрес дам. Сайт предоставь на твое усмотрение. Потом поговорим о серваках. Если получится положить на сраной домашней машине.
Запросто, ставь апач с пыхом, под него джумлу, оскоммерс или еще что-нубыдь в этом духе, подключай к mysql-базе и я этот сайт уложу с одного адреса.
Здравствуйте, Anton Batenev, Вы писали:
q>> Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. AB> Это что же такое должно происходить с сервером, если он не успевает писать логи?
Апач запросто может не успевать. Если у него процессы кончились -- все.
q>> А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. AB>Я совсем забыл упомянуть утилиту tail
Так если лог на гигабайты растет за минуты? Особенно если URL-ы длинные.
q>> AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой q>> Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда? AB>Тут вариантов много и зависят они от конкретного поведения ботов. Кто-то не умеет отрабатывать редиректы, кто-то не анализирует js, не отрабатывают куки, разные версии браузеров по разному отрабатывают некоторые вещи и т.д.
Вся эта информация обычно не нужна, если атакуют очень умно, большим количеством хостов, не спеша, с соблюдением всех браузерных привычек, то защита только по принципу "убивай всех, на небе разберутся". Обычно же атакуют в лоб, однотипными или шаблонными запросами. Такое можно сделать парсингом логов, но не каждый сдюжит и не каждый захочет.
AB>Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют).
Так по каким критериям они там оказались? Все, кто в этот момент в очереди стоял что ли?
q>> Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени). AB>Так нет никакого геморроя и в логах действительно все есть. А вот эффективность закрытой реализации под хорошим вопросом ибо перед глазами исходники nginx, lighttpd, где вопросам эффективности сетевого взаимодействия уделяется огромное количество внимания и конкретную реализацию всегда можно посмотреть (почему реализовано именно так, а не иначе). А здесь пока что черный ящик, который неизвестно как работает, какова его реальная эффективность и сценарий использования.
Ну реализация не совсем закрытая, в основе лежит слегка модифицированный nginx, исходники которого никто прятать не собирается (более того их весьма желательно собирать прямо на целевой машине), и уже этот nginx загружает закрытую динамическую библиотеку, в которой реализована собственно защита. Защита выключается одной правкой конфига, после чего nginx начинает работать точно так же, как и обычный.
q>> Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы. AB>Я с такими не работаю
А у меня таких большинство. Я их защищаю на халяву (в рамках стандартной абонентской платы за площадку), а они еще орут. Обычный хостинг выбросил бы на мороз мигом!
q>> AB>которые в случае ряда атак абсолютно бесполезны ибо user space. q>> Что вы имеете против юзерспейса? В ряде каких атак это неэффективно? AB>Например, классический SYN-flood, где до приложения дело даже не доходит (рассуждения про syncookie/syncache оставим пока в стороне).
Был SYN-flood, в одной из первых атак, с тех пор держу syncookie включенным (плюс другие оптимизации стека) и больше проблем с подключением при атаках не было.
M>> AB>Хм... А убрать автоматический апдейт из крона? M>> Начнем с начала. Я — обыкновенный пользователь. Какой, к чертям, крон?
AB>Ну возможно в интерфейсе оно будет называться "Планировщиком" или как-то так. GUI тулзы для управления кроном тоже существуют. AB>Второй вариант — снести из системы автообновлялку (gui менеджер пакетов с поиском и прочим так же существует). AB>Третий вариант, когда совсем все плохо, позвонить в тех-поддержку.
Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
Здравствуйте, quwy, Вы писали:
q> AB> Это что же такое должно происходить с сервером, если он не успевает писать логи? q> Апач запросто может не успевать. Если у него процессы кончились -- все.
В этом случае апач напишет об этом в лог ошибок, ну и логично, что в access.log он ничего писать не будет, т.к. в это время он и запросов не отрабатывает. Но как бы там не было, запись логов почти не дает никакой нагрузки.
q> AB>Я совсем забыл упомянуть утилиту tail q> Так если лог на гигабайты растет за минуты? Особенно если URL-ы длинные.
Лог апача на гигабайты за минуты?! Там что, логгируется полностью весь поток данных вместе с заголовками?
q> AB>Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют). q> Так по каким критериям они там оказались? Все, кто в этот момент в очереди стоял что ли?
Нет, все банально — они не умели отрабатывать HTTP 3xx.
q> Ну реализация не совсем закрытая, в основе лежит слегка модифицированный nginx, исходники которого никто прятать не собирается (более того их весьма желательно собирать прямо на целевой машине), и уже этот nginx загружает закрытую динамическую библиотеку, в которой реализована собственно защита. Защита выключается одной правкой конфига, после чего nginx начинает работать точно так же, как и обычный.
Ну я понимаю, что у nginx лицензия BSD, но тогда совсем не понятно твое изначальное возмущение, что мол де, все халявщики.
q> Был SYN-flood, в одной из первых атак, с тех пор держу syncookie включенным (плюс другие оптимизации стека) и больше проблем с подключением при атаках не было.
Здравствуйте, Mamut, Вы писали:
M> Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
Что-то я потерял нить обсуждения Нужен GUI — пожалуйста, не нужен GUI — пожалуйста. Единственное, что через гуй возможностей меньше, но я не думаю, что "обыкновенный пользователь" (tm) парит себе мозг каким-нибудь QoS или дисциплинами шейпинга.
Здравствуйте, quwy, Вы писали:
Q>любая мало-мальски серьезная задача, которая в винде решается мышкой и десятью баксами, в линуксе или вообще не решается, или решается на халяву, но через неделю траха с конфигами и командной строкой.
Понизить MTU для 95.31.13.136 (rsdn.ru), оставив его неизменным для остальных маршрутов. Иначе невозможно
M>> Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
AB>Что-то я потерял нить обсуждения Нужен GUI — пожалуйста, не нужен GUI — пожалуйста. Единственное, что через гуй возможностей меньше, но я не думаю, что "обыкновенный пользователь" (tm) парит себе мозг каким-нибудь QoS или дисциплинами шейпинга.
Изначальный вопрос был — зачем нужен GUI для firewall'а. После чего пошли следующие, разной степени неверности и абсурдности заявления типа:
— а в линуксе никто без спросу в инет не лезет
— а если надо закрыть автоапдейтер — лезь в крон
Что за софтина такая уникальная?
