Здравствуйте, Mamut, Вы писали:
vsb>>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
M>Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
Под вендой оно спрашивало каждые 5 минут, в итоге вырабатывается устойчивый рефлекс жать allow на всё моментально. Причём проверено более чем на одном пользователе Какая от такого фаервола защита, я не знаю.
Ещё смешно, когда касперский каждые 5 секунд отражает хакерские атаки.
Здравствуйте, Mamut, Вы писали:
M>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
vsb>>>>>Программы плохого качества либо если это мало кому нужно (т.е. не нашёлся квалифицированный программист или команда, готовый потратить своё время на то, чтобы написать нужную программу), либо если запросы очень специфические, т.е. скажем 99% линуксоидов используют iptables и их всё устраивает, а Петя приходит и кричит хочу фаервол с GUI чтобы окошки вылазили когда кто то лезет в интернет. Q>>>>А вот, кстати, как? iptables -- это конечно хорошо, но как дела с десктопными фаерволлами с двумя кнопками "разрешить" и "запретить"?
vsb>>>Я и говорю, что под специфические запросы софта может и не найтись. Я не знаю такого фаервола, более того, я никогда не понимал их смысла и под вендой подобные программы меня весьма раздражали.
M>>Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
vsb>Под вендой оно спрашивало каждые 5 минут, в итоге вырабатывается устойчивый рефлекс жать allow на всё моментально. Причём проверено более чем на одном пользователе Какая от такого фаервола защита, я не знаю.
"то — плохой файрвол Под МакОСью у меня LittleSnitch, он уже знает сигнатуры основных программ, поэтому нажимать приходилось намного реже. Но полезно узнать, что GoogleUpdate, собака, в этот интернет лезет просто постоянно.
M>>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
vsb>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
Здравствуйте, Mamut, Вы писали:
M>>>>> Потому что не все — гики. А даже если и гики, то гораздо проще пару раз ответить на вопросы типа «Программа X лезет в интернет. Разрешить? Запретить?», чем ковыряться в настройках iptables.
AB>>>>Подобный use case под линуксом практически лишен смысла, т.к. там <штатные> программы без спроса в интернет не лазят.
M>>>Что такое «штатные» программы? Насчет того, что без спросу в инет не лезут — не надо сказок Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
vsb>>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
M>Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
А за чем ещё может лазить программа, не связанная очевидным способом с интернетом, как не за апдейтом? Я вот не знаю, что в линуксе может лазить в интернет, кроме очевидного (браузер, скайп, почтовый клиент, всякие эклипсы во время скачивания плагинов и библиотек). Вроде ничего не должно никуда лазить.
vsb>>>В линуксе апдейт централизованный. Ни одна нормальная программа самостоятельно не апдейтится. Апдейт отключается обычно одной галочкой в GUI пакетного менеджера.
M>>Я где-то говорил, что апдейт не централизированный? Я говорил о том, что «штатные программыбез спроса в инет не лазят» — это миф. Сейчас в инет лазят все — и все без спроса.
vsb>А за чем ещё может лазить программа, не связанная очевидным способом с интернетом, как не за апдейтом? Я вот не знаю, что в линуксе может лазить в интернет, кроме очевидного (браузер, скайп, почтовый клиент, всякие эклипсы во время скачивания плагинов и библиотек). Вроде ничего не должно никуда лазить.
Только что ты уже назвал толпу программ, которые без спросу лезут в интернет Я видел build-скрипты, которые лезут по половине инета, включая какие-то левые сайты, в поисках зависимостей. Разные плагины к разным программам тоже неизвестно, что делают, у куда лезут. Ну и ты ды и ты пы
Здравствуйте, Anton Batenev, Вы писали:
AB>grep/awk/sort/uniq/sed творят чудеса в разборе логов
Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой
Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда?
AB>На практике это вполне доступно и вполне получается. Вот пример одной из атак на графиках: AB>http://st.free-lance.ru/users/abbat/upload/f_4bb3bd500eee2.png
Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
AB>Захлебнувшаяся атака редко длится более недели-двух — через пару недель можно просто очистить список блокировок.
Проблема в том, что атакующие могут и не знать о том, что атака захлебнулась. Они будут сидеть в бане вместе со своими ботами и думать что все идет по плану. По крайней мере атаки длительностью в месяц при полной работоспособности атакуемого сайта у меня были, и иного объяснения этому идиотизму я придумать не смог.
AB>При большой аудитории потери незаметны, а при малой сразу видны.
Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы.
AB>На счет iptables не знаю (не было возможности проверить), но ipfw на FreeBSD относится к этому абсолютно ровно.
Ну тут уже я не могу ничего сказать, в ipfw более десятка правил не делал.
AB>Ну вот как-то я пока не понял, чем она может облегчить задачу, кроме как наличием магических статистических методов с непонятной эффективностью
Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени).
AB>которые в случае ряда атак абсолютно бесполезны ибо user space.
Что вы имеете против юзерспейса? В ряде каких атак это неэффективно?
AB>>grep/awk/sort/uniq/sed творят чудеса в разборе логов Q>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков?
AB>>На практике это вполне доступно и вполне получается. Вот пример одной из атак на графиках: AB>>http://st.free-lance.ru/users/abbat/upload/f_4bb3bd500eee2.png Q>Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь. Да, мой 100-мегабитный канал забивает, но не мешает мне шариться по нету. А это всего-лишь домашний комп, на серваках и каналы, и мощности ну совсем другие.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
Q>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков?
DDoS? В локалке? Вы, батенька, оригинал!
E__>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу.
Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables).
E__>Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь.
Торрент-запрос не ведет к парсингу нескольких SQL-запросов, вычитке записи из базы и выполнении кривого php-кода. Еще раз: положить средний говносайт можно с оного адреса запросто.
E__>Да, мой 100-мегабитный канал забивает, но не мешает мне шариться по нету. А это всего-лишь домашний комп, на серваках и каналы, и мощности ну совсем другие.
Разные уровни обработки запросов просто.
Здравствуйте, quwy, Вы писали:
Q>>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков? Q>DDoS? В локалке? Вы, батенька, оригинал!
ДДос он извне. А серваки в локалке, очень скоростной.
E__>>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Q>Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables).
Положи сначала мой сайт на домашней машине одним хостом. У меня нет никаких проксей, голый выход в инет. Адрес дам. Сайт предоставь на твое усмотрение. Потом поговорим о серваках. Если получится положить на сраной домашней машине.
E__>>Тут на торрентах при скачивании 500+ пиров бывает, и то мелочь. Q>Торрент-запрос не ведет к парсингу нескольких SQL-запросов, вычитке записи из базы и выполнении кривого php-кода. Еще раз: положить средний говносайт можно с оного адреса запросто.
Предложи сайт, поставлю домой. Система не важна, тут и линух, и винда есть, выбирай. Положи его с одного своего хоста — продолжим эксперимент.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, quwy, Вы писали:
q> AB>grep/awk/sort/uniq/sed творят чудеса в разборе логов q> Во-первых не так это просто.
А что в этом сложного? В манах все достаточно подробно.
q> Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда.
Это что же такое должно происходить с сервером, если он не успевает писать логи?
q> А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно.
Я совсем забыл упомянуть утилиту tail
q> AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой q> Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда?
Тут вариантов много и зависят они от конкретного поведения ботов. Кто-то не умеет отрабатывать редиректы, кто-то не анализирует js, не отрабатывают куки, разные версии браузеров по разному отрабатывают некоторые вещи и т.д.
q> Не раскрыта тема количества хостов. Если их будет сотня, графики будут аналогичными, но это будет уже не атака, а детская забава. Да и нагрузка на сервер судя по ним при атаке возросла раз в пять...
Первая волна с 20 мегабит в штатном режиме до 380 мегабит (в 19 раз).
Вторая с ~3-4K активных соединений до ~75K (так же приблизительно в 19 раз, но там эти соединения в большинстве своем до веб-сервера уже не доходили и сервер нагрузки не испытывал).
Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют).
q> AB>Захлебнувшаяся атака редко длится более недели-двух — через пару недель можно просто очистить список блокировок. q> Проблема в том, что атакующие могут и не знать о том, что атака захлебнулась. Они будут сидеть в бане вместе со своими ботами и думать что все идет по плану. По крайней мере атаки длительностью в месяц при полной работоспособности атакуемого сайта у меня были, и иного объяснения этому идиотизму я придумать не смог.
Ну перед очисткой просто сохранить список, если не угомонились, то загрузить его опять.
q> Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени).
Так нет никакого геморроя и в логах действительно все есть. А вот эффективность закрытой реализации под хорошим вопросом ибо перед глазами исходники nginx, lighttpd, где вопросам эффективности сетевого взаимодействия уделяется огромное количество внимания и конкретную реализацию всегда можно посмотреть (почему реализовано именно так, а не иначе). А здесь пока что черный ящик, который неизвестно как работает, какова его реальная эффективность и сценарий использования.
q> Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы.
Я с такими не работаю
q> AB>которые в случае ряда атак абсолютно бесполезны ибо user space. q> Что вы имеете против юзерспейса? В ряде каких атак это неэффективно?
Например, классический SYN-flood, где до приложения дело даже не доходит (рассуждения про syncookie/syncache оставим пока в стороне).
Здравствуйте, Mamut, Вы писали:
M> AB>Хм... А убрать автоматический апдейт из крона? M> Начнем с начала. Я — обыкновенный пользователь. Какой, к чертям, крон?
Ну возможно в интерфейсе оно будет называться "Планировщиком" или как-то так. GUI тулзы для управления кроном тоже существуют.
Второй вариант — снести из системы автообновлялку (gui менеджер пакетов с поиском и прочим так же существует).
Третий вариант, когда совсем все плохо, позвонить в тех-поддержку.
Здравствуйте, Eugeny__, Вы писали:
Q>>>>Во-первых не так это просто. Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. E__>>>Не шарю в теме. Но по локалке-то, которая не в мир, можно же стянуть логи(на соседний, не торчащий в мир сервак), да попарсить? Или имеется ввиду тотальный подвисон всех серваков? Q>>DDoS? В локалке? Вы, батенька, оригинал! E__>ДДос он извне. А серваки в локалке, очень скоростной.
Если локалка не в мир, то откуда DDoS?
E__>>>Сотней хостов ты даже мой домашний комп не атакуешь(дать фтп для теста?), я их даже не замечу. Q>>Типичный сайт ложится одним хостом на раз-два. Десятком хостов убивается VPS (при отсутствии админа с iptables). E__>Положи сначала мой сайт на домашней машине одним хостом. У меня нет никаких проксей, голый выход в инет. Адрес дам. Сайт предоставь на твое усмотрение. Потом поговорим о серваках. Если получится положить на сраной домашней машине.
Запросто, ставь апач с пыхом, под него джумлу, оскоммерс или еще что-нубыдь в этом духе, подключай к mysql-базе и я этот сайт уложу с одного адреса.
Здравствуйте, Anton Batenev, Вы писали:
q>> Во-вторых анализ логов подразумевает, что сервер худо-бедно справляется хотя бы с добавлением туда строк, что бывает далеко не всегда. AB> Это что же такое должно происходить с сервером, если он не успевает писать логи?
Апач запросто может не успевать. Если у него процессы кончились -- все.
q>> А в-третьих парсинг гигабайтовых логов тоже хорошая нагрузка и выполнять его даже каждую минуту достаточно накладно. AB>Я совсем забыл упомянуть утилиту tail
Так если лог на гигабайты растет за минуты? Особенно если URL-ы длинные.
q>> AB>Ну вообще-то это моя работа, по этому я столь живо интересуюсь темой q>> Тогда не совсем понятен подход. Точнее понятен, но работает он только если ботов немного и сменяются они не быстро. А вот представьте, что хостов у атакующих миллион, но атакуют десятком тысяч, сменяя каждые несколько минут десяток-другой. Что тогда? AB>Тут вариантов много и зависят они от конкретного поведения ботов. Кто-то не умеет отрабатывать редиректы, кто-то не анализирует js, не отрабатывают куки, разные версии браузеров по разному отрабатывают некоторые вещи и т.д.
Вся эта информация обычно не нужна, если атакуют очень умно, большим количеством хостов, не спеша, с соблюдением всех браузерных привычек, то защита только по принципу "убивай всех, на небе разберутся". Обычно же атакуют в лоб, однотипными или шаблонными запросами. Такое можно сделать парсингом логов, но не каждый сдюжит и не каждый захочет.
AB>Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют).
Так по каким критериям они там оказались? Все, кто в этот момент в очереди стоял что ли?
q>> Ничего магического, это все то, что можно найти в логе, только без парсинга, без предположения, что в этом логе есть все, без геморроя. Включил, и сайт заработал. И эффективность никак не хуже, чем при ваших методах (ибо почти то же самое, только в реальном времени). AB>Так нет никакого геморроя и в логах действительно все есть. А вот эффективность закрытой реализации под хорошим вопросом ибо перед глазами исходники nginx, lighttpd, где вопросам эффективности сетевого взаимодействия уделяется огромное количество внимания и конкретную реализацию всегда можно посмотреть (почему реализовано именно так, а не иначе). А здесь пока что черный ящик, который неизвестно как работает, какова его реальная эффективность и сценарий использования.
Ну реализация не совсем закрытая, в основе лежит слегка модифицированный nginx, исходники которого никто прятать не собирается (более того их весьма желательно собирать прямо на целевой машине), и уже этот nginx загружает закрытую динамическую библиотеку, в которой реализована собственно защита. Защита выключается одной правкой конфига, после чего nginx начинает работать точно так же, как и обычный.
q>> Потери всегда заметны, особенно если это бизнес-сайт, а клиент каждые пять минут в статистику смотрит и орет "Что это такое, посещаемость аж на 10% ниже чем раньше!?" Ваш подход вообще не позволяет узнать, идет ли еще атака с заданного адреса, он сидит в бане до самого конца, мои клиенты за такое поубивали бы. AB>Я с такими не работаю
А у меня таких большинство. Я их защищаю на халяву (в рамках стандартной абонентской платы за площадку), а они еще орут. Обычный хостинг выбросил бы на мороз мигом!
q>> AB>которые в случае ряда атак абсолютно бесполезны ибо user space. q>> Что вы имеете против юзерспейса? В ряде каких атак это неэффективно? AB>Например, классический SYN-flood, где до приложения дело даже не доходит (рассуждения про syncookie/syncache оставим пока в стороне).
Был SYN-flood, в одной из первых атак, с тех пор держу syncookie включенным (плюс другие оптимизации стека) и больше проблем с подключением при атаках не было.
M>> AB>Хм... А убрать автоматический апдейт из крона? M>> Начнем с начала. Я — обыкновенный пользователь. Какой, к чертям, крон?
AB>Ну возможно в интерфейсе оно будет называться "Планировщиком" или как-то так. GUI тулзы для управления кроном тоже существуют. AB>Второй вариант — снести из системы автообновлялку (gui менеджер пакетов с поиском и прочим так же существует). AB>Третий вариант, когда совсем все плохо, позвонить в тех-поддержку.
Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
Здравствуйте, quwy, Вы писали:
q> AB> Это что же такое должно происходить с сервером, если он не успевает писать логи? q> Апач запросто может не успевать. Если у него процессы кончились -- все.
В этом случае апач напишет об этом в лог ошибок, ну и логично, что в access.log он ничего писать не будет, т.к. в это время он и запросов не отрабатывает. Но как бы там не было, запись логов почти не дает никакой нагрузки.
q> AB>Я совсем забыл упомянуть утилиту tail q> Так если лог на гигабайты растет за минуты? Особенно если URL-ы длинные.
Лог апача на гигабайты за минуты?! Там что, логгируется полностью весь поток данных вместе с заголовками?
q> AB>Количество хостов не помню, но около 20К оказались в бане сразу, остальных одиночных выживших уже добивал скрипт (когда стало понятно, чего боты не умеют). q> Так по каким критериям они там оказались? Все, кто в этот момент в очереди стоял что ли?
Нет, все банально — они не умели отрабатывать HTTP 3xx.
q> Ну реализация не совсем закрытая, в основе лежит слегка модифицированный nginx, исходники которого никто прятать не собирается (более того их весьма желательно собирать прямо на целевой машине), и уже этот nginx загружает закрытую динамическую библиотеку, в которой реализована собственно защита. Защита выключается одной правкой конфига, после чего nginx начинает работать точно так же, как и обычный.
Ну я понимаю, что у nginx лицензия BSD, но тогда совсем не понятно твое изначальное возмущение, что мол де, все халявщики.
q> Был SYN-flood, в одной из первых атак, с тех пор держу syncookie включенным (плюс другие оптимизации стека) и больше проблем с подключением при атаках не было.
Здравствуйте, Mamut, Вы писали:
M> Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
Что-то я потерял нить обсуждения Нужен GUI — пожалуйста, не нужен GUI — пожалуйста. Единственное, что через гуй возможностей меньше, но я не думаю, что "обыкновенный пользователь" (tm) парит себе мозг каким-нибудь QoS или дисциплинами шейпинга.
Здравствуйте, quwy, Вы писали:
Q>любая мало-мальски серьезная задача, которая в винде решается мышкой и десятью баксами, в линуксе или вообще не решается, или решается на халяву, но через неделю траха с конфигами и командной строкой.
Понизить MTU для 95.31.13.136 (rsdn.ru), оставив его неизменным для остальных маршрутов. Иначе невозможно
M>> Ну вот видишь, все равно упираемся в то, что для обыкновенного пользователя нужен GUI — для менеджероа, планировщиков и т.п.
AB>Что-то я потерял нить обсуждения Нужен GUI — пожалуйста, не нужен GUI — пожалуйста. Единственное, что через гуй возможностей меньше, но я не думаю, что "обыкновенный пользователь" (tm) парит себе мозг каким-нибудь QoS или дисциплинами шейпинга.
Изначальный вопрос был — зачем нужен GUI для firewall'а. После чего пошли следующие, разной степени неверности и абсурдности заявления типа:
— а в линуксе никто без спросу в инет не лезет
— а если надо закрыть автоапдейтер — лезь в крон
Тот же апдейт туда лезет постоянно, например. Мне как-то не улыбается изучать iptables только для того, чтобы его отрубать (в случае дорогого трафика).
Я видел build-скрипты, которые лезут по половине инета, включая какие-то левые сайты, в поисках зависимостей. Разные плагины к разным программам тоже неизвестно, что делают, у куда лезут. Ну и ты ды и ты пы 
Это что же такое должно происходить с сервером, если он не успевает писать логи?
Там что, логгируется полностью весь поток данных вместе с заголовками?
