В Hoster.KZ подключена защита от DDoS для всех клиентов

Блог компании Hoster.KZ /


Мы делали, делали и наконец-то доделали — в компании Hoster.KZ для всех клиентов подключена автоматическая защита от DDoS-атак.

Заключено партнерское соглашение с компанией DDoS-GUARD и с помощью ДИС КТ было организовано подключение.

Немного о сервисе — DDoS-GUARD — 100% защита от DDoS атак. Геораспределенная сеть фильтрации с узлами в Нидерландах, России и Германии с пропускной способностью более 1.5 Tbps.


До конца года 2015 услуга предоставляется бесплатно и работает для всех наших клиентов на виртуальном хостинге, VPS хостинге и на выделенных серверах. Можно назвать этот период тестовым или периодом обкатки услуги :)

Те, кто размещают сайты на серверах в Казахстане, рано или поздно сталкивались с ситуациями, когда их сайты перестают быть доступными из-за атак на соседа. Что делают многие хостинговые компании? Ищут соседа и отключают его. Что делают провайдеры в дата-центре — ищут соседа и отключают.

Да, у нас были подобные случаи и не один раз. Когда атака идет на какой-то сайт, а ложится весь сервер, вся подсеть, весь датацентр.

Сейчас, в первую очередь, мы защищаем нашу инфраструктуру от внешних атак. Самый популярный случай — атака идет на ip-адрес сервера, на котором размещаются сотни и тысячи клиентов. Вычислить настоящую «жертву» достаточно сложно, страдают все. И я искренне уверен, что это на для нас и для наших клиентов в прошлом.

Вторая часть защиты это один из наших основных dns-серверов. Что бы сломать работу сайта не обязательно устраивать огромную атаку на сайт — достаточно «завалить» днс сервера и сайт перестанет работать, а с ними и все тысячи и десятки тысяч сайтов, которые обслуживает этот dns-сервер.

Что самое приятно для клиентов — НЕ нужно делать никаких настроек, менять днс сервера, менять ip адреса — все работает сразу.

Ну и как всегда — с удовольствием отвечу на все ваши вопросы :)

83 комментария

Denisc
Впереди еще много работы :)
Claus
Пинг увеличится потому что BGP зарулит трафик в нидерланды?
Denisc
Да, 2 канала — один в Москву (основной), другой в Амстердам. Опросил с десяток активных клиентов, заметили ли они какие-то «тормоза» в работе сайтов — никто не заметил. За пинги я сам переживал, но для большей части клиентов это без разницы.

Есть клиенты, которые используют VPS не для сайтов и у них что-то начинает тормозить, но таких единицы.
kit
Какое у вас среднее и пиковое значение общего исходящего и входящего трафика в Mb/s ?

К чему вопрос:
Казахтелеком по голове не настучит через какое-то время(когда поймет) за то, что вы теперь на колокейшене потребляете исключительно зарубежный трафик и тем самым являетесь для них убыточным клиентом(т.к. стоимость зарубежного трафика больше, чем оплата за колокейшена)
Denisc
Трафика у нас до гигабита. Да и за то, что мы создаем исходящий зарубежный трафик нам только спасибо скажут :)
kit
Только этот исходящий трафик потом дублируется во входящий, а гиг входа — это деньги. А за исходящий спасибо не скажут, но и бить не будут :)
Denisc
Куда и как он потом конвертируется это уже второй вопрос. Если огромный обьем трафика это работа поисковых систем — этот трафик НЕ возвращается в Казахстан и никаких «дополнительных» затрат для провайдеров не создает. Раньше мы не знали, сколько трафика и куда идет — а сейчас будем знать — в какую AS, с какой скоростью и в каких обьемах льется трафик :)
kit
Сделай трассировку со своей автономки на любой сайт, хостящийся в ДИСе.

p.s. Да, я затупил чуток, когда прошлый коммент писал, входящий трафик действительно должен идти напрямую.
Denisc
Конечно же я делал трассировку и знаю, как ходит трафик :) Сейчас и входящий и исходящий идут НЕ напрямую а идут полностью через сервис фильтрации. Только входящий фильтруется а исходящий — нет, мы с ним сами разбираемся.
kit
Ну тогда я не затупил. И весь исходящий трафик потом становится входящим для пользователя любого Казахстанского провайдера и соответственно стоит денег. И тут теряется весь смысл колокейшена в Казахтелекоме, легче поставить коло за рубежом, задержки будут меньше (в том числе совсем немного быстрее будут открываться сайты). Единственная причина остаться на коло к КЗ — правила регистрации доменов.
Denisc
Затупил или не затупил — решать тебе, тут все относительно :)

Не весь исходящий трафик возвращается в Казахстан, для себя точные цифры мы узнаем чуть позже, когда статистика нормально заработает.

Смысл размещения серверов никуда не пропадал — наше оборудование ближе к нам и делать мы с ним можем все, что хотим. Обновлять, ремонтировать, устанавливать новое удобнее, когда ДЦ находится в паре минут от офиса.

Ну и рулить трафиком никто не запрещает, так и будем делать чуть позже — какой-то трафик в Казнет без фильтрации, какой-то с фильтрацией, удобно очень :)
kit
По моим данным около 90% вернется в КЗ. У нас так. Не думаю, что твоя статистика будет отличаться.

Меня просто удивило, что вы сразу КЗ трафик напрямую не отправили. А потом подомал о возможных причинах и кажется догадался :) Телеком скорее всего не хочет и/или не может в ДИСе по BGP подключить.
Denisc
У нас с ДИС заключен партнерский договор и организовано BGP подключение.

На самом деле это связано с необходимостью получения информации об инициированных TCP-сессиях для валидации трафика.
kit
Значит ДИС начал немного меняться :)
Denisc
На самом деле у ДИС огромный потенциал и они могут делать великие дела :)
unionbean
Мало того, что стоимость местного хостинга в 5 раз выше, а качество услуг в 5 раз ниже зарубежных товарищей, так теперь еще и пинг будет как до Европы. Молодцы. :)
Denisc
Какие инструменты вы использовали для того, что бы измерить качество и получить результат — в 5 раз ниже? Какие именно критерии? Дороже в 5 раз, ну-ну, калькулятор никто не отменял, считать все могут.

Пинг не создает проблемы в работе сайтов. Целыми днями люди сидят в соцсетях и не думают, что до фейсбука пинг в 10 раз больше, чем до сайта в Казахстане, да как же он тогда работает? :)
unionbean
Это моё субьективное непрофессиональное мнение диванного эксперта, не обращайте внимания.
Denisc
Для диванных экспертов я добавлю еще одну небольшую информацию, как раз насчет пинга.

Сейчас, для реального такого теста мы завернули весь трафик в сервис фильтрации. Но никто не мешает нам часть наших подсетей запускать напрямую, без фильтрации и только при необходимости включать на них фильтрацию.

IP-адресов у нас сейчас с огромным запасом, да и не секрет, где их все можно посмотреть:
bgp.he.net/AS200532#_prefixes

Берем любую подсеть, например 185.100.67.0/24 — нужно там размещать клиентов, для которых пинг критичен — будем размещать с анонсом в КТ и будет маленький пинг по Казнету. Будет атака, будет небольшой простой, пока руками будем переключать — но это не большая проблема, минут 5-10 и все под защитой, но уже с «увеличенным» пингом :)
Denisc
Различных схем придумать можно море, у нас есть еще 4 свободных порта на нашем маршрутизаторе :)

LiO
вопрос не спеца в хостинге

а нахрена вообще тогда хоститься в кз при пинге как в сша и такой огромной цене?

защита от ДДОС — круто!!! а нужна ли она 99% клиентам? может все же их (клиентов) спросить. хотя нет, не надо. эти… схавают и это :) схавали же повышение цены на домены. а некоторые еще и радостно прыгали :) в доводах что вот теперь точно казнет очиститься от «ненужного».

а так да.
фишка крутая — «хостин с ддос защитой с пингом в 10 раз больше чем у остальных хостеров в кз» :)
LiO
надо рекламный слогон сделать
«мы в танке, мы защищены — а скорость? да нам насрать!!» :)
Denisc
Скорость не изменяется в пингах :)
LiO
сурьезно? я тут полистал книжку — пинг для чайников. и вот что получилось

ping hoster.kz

Pinging hoster.kz [185.98.6.66] with 32 bytes of data:

Reply from 185.98.6.66: bytes=32 time=138ms TTL=51
Reply from 185.98.6.66: bytes=32 time=138ms TTL=51
Reply from 185.98.6.66: bytes=32 time=138ms TTL=51
Reply from 185.98.6.66: bytes=32 time=138ms TTL=51

Ping statistics for 185.98.6.66:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 138ms, Maximum = 138ms, Average = 138ms

ping hosthouse.kz

Pinging hosthouse.kz [178.91.94.5] with 32 bytes of data:

Reply from 178.91.94.5: bytes=32 time=12ms TTL=57
Reply from 178.91.94.5: bytes=32 time=11ms TTL=57
Reply from 178.91.94.5: bytes=32 time=11ms TTL=57
Reply from 178.91.94.5: bytes=32 time=11ms TTL=57

Ping statistics for 178.91.94.5:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 12ms, Average = 11ms

ping megahost.kz

Pinging megahost.kz [95.59.26.26] with 32 bytes of data:

Reply from 95.59.26.26: bytes=32 time=40ms TTL=57
Reply from 95.59.26.26: bytes=32 time=39ms TTL=57
Reply from 95.59.26.26: bytes=32 time=40ms TTL=57
Reply from 95.59.26.26: bytes=32 time=39ms TTL=57

Ping statistics for 95.59.26.26:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 39ms, Maximum = 40ms, Average = 39ms

ping ps.kz

Pinging ps.kz [195.210.46.10] with 32 bytes of data:

Reply from 195.210.46.10: bytes=32 time=44ms TTL=57
Reply from 195.210.46.10: bytes=32 time=44ms TTL=57
Reply from 195.210.46.10: bytes=32 time=44ms TTL=57
Reply from 195.210.46.10: bytes=32 time=46ms TTL=57

Ping statistics for 195.210.46.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 44ms, Maximum = 46ms, Average = 44ms
Denisc
Серьезно, скорость не измеряется в пингах. Пинг может быть «маленьким» и при этом ничего не работать :)

Особенно показательный пинг с таким результатом:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Ну и да — пинговать я тоже умею, как внутри Казахстана так и с внешки, у нас есть не одна точка для проверок этого «пинга».
LiO
ок. будет случай замерю с шыма скорость по тому же фтп до вас.

но явно перекид трафика через забугорье просто так не пройдет.

пока только имеем пинг
Denisc
В этом проблема всех «технически подкованных» людей. Измерять то, что на самом деле для обычных клиентов НЕ имеет значение. Проверять работу сайтов даже мысли не было? :)

Пожалуйста, вот ссылка для скачивания:
mirror.hoster.kz/centos/7.1.1503/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso

С офиса с Билайна и IDnet было около 1800к, умножаем на 8 и получаем около 15 мб\с Ну вот только что мне даст эа цифра? Какой ресурс клиента может потребовать подобных скоростей для открытия сайтов? Файлохранилища? Торренты?

Я же не вчера родился и перед переключением все это проверял :)

Мы же с вами умные и продвинуты и не забываем, что есть рекомендации гугла?
developers.google.com/speed/docs/insights/Server

Уменьшите время ответа сервера, чтобы оно составляло не более 200 мс.

Интересно, а это они про пинг пишут? :)
JIenpukoH
Уменьшите время ответа сервера, чтобы оно составляло не более 200 мс.

Речь идет в целом о TTFB.
А TTFB это собственно время на соединение с сервером, генерация ответа на сервере и возвращение его, и если пинг больше 100мс, а контент генерится на сервере больше 100 мс, то Google выкидывает ошибку в Pagespeed Insight о том что надо бы уменьшить время ответа.
Так что пинг важен)
LiO
Вдогонку

Подумал — а кому этот самый ддос щит нужен? ДДОС дорогой по себе. 50-150 бакса в час. Есть ботсеть зараженных компов, которые атакуют что-то. Будет кто-то заказывать такую дорогую атаку на сайт местного сайта фирмы с посещением в 50-1000 в сутки? эм… да кому он сдался!!!?? Даже если так то они явно не оч расстроятся если на пару часов их сайт упадет. И скорее всего они даже не заметят этого. Да есть крупые проекты от 10 тыс и выше посещений. Но такие проекты зачастую приносят деньги своим владельцам и всегда имеют свое железо. И своих админов. И явно не хостяться на шареде или глючном openvz/KVM. И могут такую же схему ДДОС защиты заказать в тех же Недерландах.

Хотя если самого хостера атакуют. Но тут уже забота как бы на плечи самого КТ ложится.

Так спрашивается НАФИГА оно нужно? хотя пинг в 150 мс это круто!!! :)

PS. хотите доброе дело сделать – верните цены на домены 1400-1700 тнг. хотя кто себя любимого лищит профита в 50-100 лям в год.
Denisc
Олег, про дополнительную защиту можно сказать точно так же, как и про бекапы.

Есть компании, которые не делают бекапы. Есть компании которые уже делают бекапы. И есть компании, которые делают бекапы и проверяют, что они восстанавливаются.

Можно смотреть на вчерашний день, можно смотреть на сегодняшний, можно немного думать о том, что будет в 2016 году.

Можно послушать, что говорят умные люди:

Лаборатория Касперского: казахстанские компании теряют деньги и финансовую информацию
profit.kz/news/27784/Laboratoriya-Kasperskogo-kazahstanskie-kompanii-teryaut-dengi-i-finansovuu-informaciu/

Казахстанские компании теряют деньги из-за DDoS-атак
profit.kz/news/25364/Kazahstanskie-kompanii-teryaut-dengi-iz-za-DDoS-atak/

Это дополнительные мысли к размышлению — не мои, где-то рекламные — но все равно мысли.

Что нас всех ждет в 2016 году? Усиление конкуренции, падение продаж, сокращение рынка и это не самое страшное. То, что происходит в России к нам обязательно придет и уже идет, с небольшим опозданием.

Стоимость атак стремительно падает и сейчас можно заказать атаки от 5 долларов в час — за эти деньги у вашего клиента будет все гарантировано лежать и заботу на плечи КТ или другого провайдера не переложить. КТ поможет, обязательно поможет другим клиентам вашего ДЦ — сможет отключить ip адрес, на который идет атака.

Одного из наших клиентов атаковали в этом году, канал забивали до 50 гигабит в секунду. Это не 100 мб\с, которые положат каналы почти любого сервера в Казахстане. Это не 1000 мб\с, которые могут и сервера и небольшие ДЦ положить и это не 10 гигабит в секунду, которые забьют трубу в ДЦ, это было полтишок. Увидели мы эти цифры тогда, когда перевели клиента на сервис защиты, использовали cloudflare за 200 долларов в месяц. Отбились, но сколько нерв и времени ушло…

Упадет сайт на пару часов… ню-ню, у вас просто не было атак на ip адреса, которые не прекращались неделями и когда страдали тысячи клиентов и вычислить жертву было очень сложно.

По пингу — когда у вас лежит все-все-все вы будете согласны и на пинг в 300, лишь бы все ожило.

И да — на тот же фейсбук пинг 230-300, google.com около стольника и как же мы ими то пользуемся?

Правда только в том, что для большей части клинтов этот пинг НЕ важен и визуально не сказывается на работе с сайтом.

Ну и как я писал выше — нет никакой проблемы сделать пинг обратно маленьким для всех сетей или выборочно и переключаться на сервис защиты только при атаках. Руками, немного дольше, но можно :)
LiO
красиво говорите, только не в тему.

только не раскрыта тема — а нужнали ли защита 1% клиентов когда 99% страдают из-за скорости.

бекапы это критичное, сравнение не совсем верное.
Denisc
Поживем — увидим, 2016 год уже скоро. А со страданием по скорости… ну взял и проверил выборочно пару сайтов, например dw.kz/ или www.lada.kz/

Заметил ли я, как клиент, какую-то разницу? Нет :) Никаких страданий нет.
LiO
не, я поток потом проверю. тот же фтп. а сайты — это от двига зависит отклик, от упаковки gzip, от контента который упаковывается, от нагрузки на веб сервер, на нагрузку сервера баз и т.д… он как бы скорость реально и не покажет. да и только слив — а тут в обе конца бы.

ладно, потом по работе попадется доступ к вашим хостам — замерю.

а по хорошему мне вообще фиолетово что там с скоростью у других и т.д. :)
Denisc
Я ссылку выше кинул — можете через http или через ftp подключиться и проверить :)
Denisc
Я про это и пишу. Для клиента важна скорость работы сайта, а не цифры пинга и скорость скачивания с ftp. Загрузится какая-то pdf с прайсом за несколько секунд и все — клиент доволен :)
LiO
ну если считаете что быстрее (или хотя бы одинаково) по скорости закачивать файл по пути через европу, а не через «соседний перекресток». то как бы…, главное чтоб вам было спокойнее :) что ваш любимый pdf защищен как следует!!! :)))))) и злые червячки ддоса не покусают его на пути к серверу
Denisc
Олег, а какая разница что я считаю или не считаю. Ссылку для скачивания скинул — проверили? Хотите — дам доступ по ftp в личку для теста :)

Запакуйте свой проект, закачайте, распакуйте средствами панели управления, можно с секундомером даже :)
twost
а Олега всё таки не взяли на работу, всё мается бедный, страдает.
LiO
шутка сказанная 10 раз уже становится баяном.
придумайте чтот новое.

или Денис свежие методички еще не дал? :)
Denisc
А давайте вы будете сраться в другом месте? :)
LiO
да, Денис был прав!!! я признаю!!! скорость вообще не упала :) (стеб)

вот его замеры. лог с фтп
150 Opening ASCII mode data connection for Êóðñ ÍÁ ÐÊ.htm
Upload: 4 219 392 bytes, 116.3 kbytes/s, 22 s
Cancel pressed!
Upload: 4 254 208 bytes, 116.3 kbytes/s, 22 s

вот с нашего сервера
150 Accepted data connection
Upload: 3 420 160 bytes, 1251.4 kbytes/s, 3 s
Cancel pressed!
Upload: 3 682 304 bytes, 1252.9 kbytes/s, 2 s

у нас скорость hosthouse.kz =1.22 мбита
у hoster.kz = 0.11 мбитя
или ~11 раз медленее чем у нас.
Denisc
Проверил на idnet, «проблем» со скоростью нет. Закачал файлик 113 метров и даже не успел устать ждать.
LiO
ну даже по вашему скрину 1.5, а на моем тесте в 5
ок. убедили. не в 10 раз, а в 4 у вас медленнее :)

я может и не эталон скорости. давайте так — любой желающий с любого города в кз может сделать

— wget hosthouse.kz/test.htm
и
wget triomad.kz/test.htm
— выставляйте сюда ваши данные с названием города
Denisc
Ну и что показывают эти цифры? Что главная страница веб-сайта с суммарным размером до мегабайта загрузится в 10-5-да хоть сколько раз быстрее? :)

Ну вот скачал я на домашнем мегалайне файлик от нас за пару минут. 130 метров, пару минут и что дальше? :) На что это влияет то?
LiO
кто мне там говорил что на самом вебе не отразится эта самая «малокомунужнаянокрутая» защита от ддос?
вот скрин с локальной впс. был размещен одинаковый html файл на мой хостинг и на хостера. и простым wget скачен

скрин
www.hosthouse.kz/speed/hoster.jpg

у hoster.kz скорость слива 0.419 MB
у hosthouse.kz скорость слива 5.03 MB

нет доступа к хостингу PS, но чтот я уверен что скорость в порядок выше чем у hoster.kz
Denisc
Скорость слива это просто прекрасно. Ну и что, часто сливаете что-то от себя в гигабитах? :)

У меня скорость «слива» на Билайна и IDNet в Караганде, Алматы и Астане отличная. Только нет у нас таких файлопомоек, что бы лить файло постоянно. Ну зеркало есть CentOS, но оно больше для нас самих.
LiO
ну главное чтоб вы были довольны ;)
Denisc
Олег, главное, что бы довольны были клиенты.

Когда возникают проблемы — мы не прячем голову в песок, а находим решение и предлагаем его клиентам.

Меняется цена на ip-адреса, мы НЕ отменяем продажу VPS а находим варианты решения. И нашли — сейчас у нас адресов с запасом, про это я выше писал и по ссылке можно посмотреть — bgp.he.net/AS200532#_prefixes

Атакуют клиентов и страдает сервис — находим решение. Что бы эта система заработала я потратил полгода или даже больше времени. Попробуйте сами организовать что-то подобное.

И это только начало — впереди еще много новостей :)
LiO
я аж прослезился от такой речи!!!

"… а можешь на баяне!!?? чтоб вот так душа распрямилась, а потом вот так свернулась!!?" © из фильма

спорим любая компания (хостер) такие слова говорит своим клиента? :)
twost
Олег, а что Вы выбрали бы сами, на-сколько-то-там-увеличенный-пинг или защиту от ддос?
И второй вопрос — как Вы решаете проблему с ддос атаками? Вы же вроде бы тоже хостинг-компания.

P.S. Денис попросил не сраться в блоге его компании, но на всякий случай — методички я себе сам пишу. Постараюсь больше не сраться)
LiO
99% клиентам не нужна защита от ДДОС. почему другие должны из-за воображаемого 1% клиентов, получать в 10-11 раз медленнее доступ к своему сайту и почте?

Для сравнения это примерно как — вам ездить каждый день на работу в бронированном автомобиле с кучей охраны. 3-4 часа толкаться на узких улочках проезжая к работе. Жить в бункере с запасом НЗ и в химзащите ожидая когда злой СССР скинет АО бомбы. в то время когда вы работаете к примеру простым бухгалтером в маленькой фирме.

И я уже писал – те сайты которые интересны для ддос имеют хороший доход для организации своего сервера (железа) и админа в штат. Помню случай когда писали что некая впс перейдя к Денису потеряла свою впс, и как он писал – «что если ваш проект такой важный вы должны были сами думать о бекапах вашей впс»
Так же и здесь – имея доход можно заказать ту же защиту от ДДОС что и купил себе Денис. Услуга от 5 до 150$ в месс в зависимости от канала и метода фильтрации трафа

Другое дело когда сам хостинг атакуют. Видать у Дениса именно с этим проблема. Именно его узлы «обижают фулиганы»

10 лет назад когда арендовал сервера в Далласе мой представитель от проблемных ддос сайтов просто избавлялся. Культурно просил их с хостинга возвращая деньги. Я не вижу разницы в том же избавлении от требовательных клиентов Денисом.
Что мы видели вот тут jnet.kz/dandelion/2013/03/14/posovetuyte-kachestvennyy-hosting-v-kazahstane-vps.html#comment49736
twost
Понял, печально. Но спасибо за честность
Denisc
Олег, скорее всего у вас мало клиентов и вы не развиваете услугу хостинга и никогда не сталкивались с атаками на ip адреса.

Отключить одного клиента когда идет атака на сайт — ок, это может сделать каждый. Занулить домен или отключить домен у регистратора, поставить на hold дело 5 минут. Потом ждем, когда атака прекращается и живем дальше.

Другой же тип атак это атака на ip адреса или на «инфраструктуру». Когда идет атака на ip адрес, на котором у вас размещаются десятки, сотни или тысячи сайтов и жертву вычислить просто так не получается — остается только бежать за помощью к любимому провайдеру. А любимой провайдер сделать ничего не может, только отключить ip адрес и все. Сколько клиентов на этом адресе сразу перестанут работать?

Иметь хороший доход это НЕ означает иметь отдельный сервер и админа. Да и отдельный сервер и админ в случае атаки чем помогут то? Только не таких атак, которые отбиваются правилами в iptables, а хотя бы гигабитный или более флуд, когда канал у вас уже забит.

Избавление от требовательных клиентов — это таких, которые хотят за 2000 тенге VPS с 100 мб\с каналом. Это нормально, мы не всех можем удовлетворить.
LiO
кто-нибудь разместите этот файл

wget hosthouse.kz/test.htm

на других хостинг компаниях. интересно глянуть скорость.
LiO
вот еще тест от host-tracker.com. у них ряд скриптов на серверах по всему миру, и те с своего места делают запрос

r.h-t.co/55223bd0-5b96-e511-80c4-0003ff730224
и
r.h-t.co/bfa6239d-5b96-e511-80c4-0003ff730224

тут скорость вне кз. и они по скорости одинаковые. тоесть ухудшение скорости идет только для Казахстанских соединений.
wpdev
Скорость ответа сервера является одним из важных тех. факторов влияющих на оценку качества сайта со стороны ПС Google.

Пример: developers.google.com/speed/pagespeed/insights/?url=dw.kz
Задержка: 1.7 (сек)



На своих серверах мы давно используем PageSpeed module для nginx с memcached кешированием.
Denisc
Скорость ответа сервера НЕ имеет никакого отношения к пингу, ну может быть просто по ссылке пройтись и почитать, а?

developers.google.com/speed/docs/insights/Server

Время ответа сервера определяет, сколько занимает загрузка кода HTML для отображения страницы. Задержка сети между Google и вашим сервером не учитывается.

Пинг это задержка сети.

И — да, этот сайт может работать еще быстрее.
wpdev
А как вы отсекаете банальный HTTP флуд (POST/GET)?
Denisc
Цитирую 1 в 1 с сайта сервиса:

Первичный Level-2/3 фильтр обеспечивает обнаружение и блокировку различных типов нестандартного трафика на сетевом и транспортном уровнях, включая, но не ограничиваясь: IP malformed, ICMP flood, TCP SYN flood, TCP-malformed, UDP-malformed, ICMP smurf.

Application Level фильтр анализирует запросы к серверу приложений. В число обнаруживаемых атак входят HTTP-flood, SlowLoris, HTTP POST flood, HTTP Slow POST и другие виды атак.
Denisc
Другой пример, сайт тяжелый:

developers.google.com/speed/pagespeed/insights/?url=lada.kz&tab=desktop
Ваш сервер ответил быстро.

По логике с большим пингом такого быть не должно.

Ну и понятно, что на виртуальном хостинге не все может работать, а на VPS хоть какое кеширование, хоть какие модули для сайтом можно и нужно ставить.
makenskiy
Что не делай, всегда найдутся те, кому не нравится :) Не утверждаю, но мало вероятно, что есть у хостера клиенты, у которых остро стоит вопрос о DDoS, скорее всего это нужно самому хостеру, однако плюс/фишка суппер, спасибо!
LiO
согласен.
мы скоро поставим защиту от киборгов на свой хостинг. и защиту от ЭБОЛЫ с использованием ноназондов с Марса.

верен — эти 2 суперские фичи вам пригодятся, так же как защита от ддос!!!

гыыы :))))
makenskiy
Хех, от киборгов у меня уже есть ;)
LiO
у хостер.кз походу уже сервера не в Казахстане. и теперь он считается ли Казахстанских хостингом???!!!

трасерт показывает что сигнал уходит из КЗ и похоже все в МСК

1 1 ms <1 ms <1 ms 192.168.1.1
2 2 ms 1 ms 2 ms 147.30.168.1
3 68 ms 51 ms 69 ms 82.200.243.102
4 27 ms 27 ms 27 ms 95.59.172.19
5 47 ms 47 ms 47 ms mosc-mx-1.online.kz [92.47.145.110]
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 131 ms 130 ms 130 ms filter.hoster.kz [186.2.173.58]
0 133 ms 131 ms 132 ms hoster.kz [185.98.6.66]

так же никаких данных по ip нет
www.nic.ru/whois/?query=185.98.6.66
только данные регистрации в KZ

в то время как остальных хостинг компании платят в тридорого за размещение серверов на территории Казахстан, они увели сервера в Россию.

:)
Denisc
Олег, создается впечатление, что вы пишите только для того, что бы написать.

Понятно, что многих вещей вы не знаете и вам нужно обьяснять. Первые сообщение с вопросами:

— Пинг увеличится потому что BGP зарулит трафик в нидерланды?
— Да, 2 канала — один в Москву (основной), другой в Амстердам.

Да, я понимаю, что для вас это может быть шоком, никогда с таким не сталкивались и не понимаете как такое работает, но оно работает.

Данные по адресам смотреть так:
apps.db.ripe.net/search/query.html?searchtext=185.98.6.66#resultsAnchor

В самом низу смотреть на route и origin — AS200532

Смотреть данные по AS:
apps.db.ripe.net/search/lookup.html?source=ripe&key=AS200532&type=aut-num

Там же обратить внимание на import и export. Это «связь» с основным провайдером.

Думаю, что этой инструкции вам достаточно, что бы узнать, к какому провайдеру относится AS9198.

Посмотреть можете на этом сайте, пример с нашей AS:
bgp.he.net/AS200532#_asinfo
Claus
Олег правильно написал, трафик теперь до хостера ходит через москву и нидерланды. Но стоит заметить что оборудование конечно находится в КЗ. У меня такой вопрос, если правительство забанит ресурсы на вашей площадке, будут ли они доступны за пределами КЗ?
LiO
если бан то по решению суда (хотя ....) так что сперва по хорошему уведомят хостер.кз и вот он физически отключит ваш хост.
Claus
Я про другой бан. Бан по ip который) Допустим IP могут забанить в раше и пользователи КЗ его не откроют(т.е. банят в раше, а проблемы у нас). И могут забанить в КЗ, но пользователи россии его откроют (банят у нас, но россияне видят).
Denisc
Наши адреса как были, так и остаются в Казахстане, они не в России. То, что трафик делает петлю не означает, что будут работать зарубежные правила для наших адресов.

Если Роскомнадзор добавляет в блокировку какой-то сайта или ip-адрес, за чем мы следим и стараемся не допускать такого, в Казахстане все будет доступно.
LiO
однако трафик у вас идет через Россию. И фирма у которой вы полупаете ддос защиту тоже с России. ddos-guard.net/ru/info/#aboutus

где гарантия что российский узел не забанит? спорный вопрос.

а Роснадзор часто банит и без уведомления. у нас было пару случаев. в том числе доска объявлений!!!
пару дней вытаскивали тот сайт

да сдается мне и сервера вы у них свои разместили.
ddos-guard.net/ru/retail/#protected-servers

трасерт аккурат через них, а потом сразу ваш ip. (186.2.173.58 их ip), 185.98.6.66 (ваш)

1 1 ms <1 ms <1 ms 192.168.1.1
2 1 ms 1 ms 1 ms 147.30.168.1
3 96 ms 59 ms 74 ms 82.200.243.102
4 31 ms 19 ms 31 ms 95.59.172.19
5 47 ms 47 ms 47 ms mosc-mx-1.online.kz [92.47.145.110]
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 138 ms 138 ms 138 ms filter.hoster.kz [186.2.173.58]
10 137 ms 138 ms 138 ms hoster.kz [185.98.6.66]
Denisc
Да, мы взяли все свои сервера и незаметно для клиентов перенесли в Россию. Ночью, когда все спали, на реактивном самолете.

Олег, пожалуйста, хотя бы немного матчасть поизучайте и потом пишите. Прочитайте о том, что такое BGP, GRE или IPIP-туннели.
LiO
ну вот опять вы просите вам поверить на слово :)
это как тогда когда вы говорили что удорожание доменов в 2 раза это благо и что вы не можете из-за того что у вас убыточная торговля делать нормальный саппорт для доменов? :)

даже не знаю кому поверить — трасерту или вам :)

а перенести с своих же ip сервер в свою же ip это дело времени копирования данных с сервера на сервер. да и потом не так давно вы уже меняли ip и у клиентов были сбои. может тогда?

хотя нет — я ошибся, я брежу
Denisc
Такая схеме не работает. Если бан по решению суда — до нас это даже не доходит, никогда не было таких документов. Блокируется где-то выше.

Хотя мы ресурсов таких, которые могут попасть под блокировку и не держим у себя.
Denisc
И еще немного по трафику — сейчас мы подключили все через сервис защиты для того, что бы понять и проанализировать текущую ситуацию. Никто не мешает нам часть подсетей запускать через фильтры, часть — напрямую и фильтры подключать только в случае атак.
LiO
так я вам про это с самого начала трындел!!! :)

что накой всех под одну гребенку. а вы мне начали с упорство доказывать что скорость в 10-11 раз медленнее чем в Казахстанском хостинга — это не существенно и что вообще я не в теме :)))

а вот теперь вы походу и переиграли все. глядишь через пару месяцев когда вой ваших клиентов прекратиться и от вас начнут отказываться вас заставит по другому взглянуть на ваши действия
Denisc
yadi.sk/i/ojMhCeIpm3CsS

Остальное даже комментировать не хочу, так как бред :)
Arik
да ладно, парни, хватит пингами мериться, я разгадал загадку =) вместо «гонять» там и возьмут дешевое железо и будут у нас (надеюсь) дешевые сервера! =) А для проверок и т.д. один/пару сервак(ов) у кт, на что и будут говорить что это ДДос-защита идет и все на территории РК, все по закону! =)
Denisc
Больная какая-то фантазия :)

Сейчас тестируем — сделали входящий трафик через сервис защиты а исходящий — через КТ.
Denisc
Может кто-то балуется, может быть кто-то тестирует, сегодня получили вот такой отчет насчет входящей атаки на один из ip-адресов одного из серверов с виртуальным хостингом:

В пике было 8 гигабит в секунду и около 15 миллионов пакетов в секунду.

Что бы было раньше, если бы такая атака не прекращалась?

1. Забит канал полностью — это уже файерволами не исправить — теряется полный доступ до всего оборудования и все клиенты не могут зайти на свои сайты.

2. Просим провайдера найти причину — хорошо, если оперативно получается, но уходило и больше 30 минут и не с первой попытки

3. Отключается проблемный ip адрес, на котором может быть сотни и тысячи сайтов. Жалоб от клиентов уже меньше, но жалобы никуда не пропадают — ведь часть клиентов лишилась доступа с сайту-почте

4. А дальше танцы с бубном — если атака прекращается — ура, а если нет — перенос клиентов туда-сюда на другие адреса и попытка найти «жертву» и отключить этот сайт. А в логах такого не найти, так как атака была именно на ip-адрес.

В течении месяца были атаки на ip-адреса клиентов, но там цифры были поменьше, но и их было бы достаточно, что бы мы старались быстрее найти жертву и отключить.

Ну вот как-то так. Живем и работаем дальше, будем стараться отбиваться и от других атак.
korganmaster
Слова красивые написаны, а по существу можно узнать, что за техника и принцип работы в общих чертах???
А то может и не стоит у вас хоститься???
Denisc
В общих чертах все есть на официальном сайте сервиса ddos-guard.net/ru/info/
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.