Исходное сообщение
"Представлен эксплойт, способный блокировать работу любого SS..." Отправлено Feerik, 27-Окт-11 10:34
> Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему > сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно > то лимит быстро исчерпается даже силами одного бота и дальше никто > подсоединиться не сможет. Включая обычных пользователей. По крайней мере сервер не задосят, что уже хорошо и уже собственно решение проблемы ддоса сервриса. Но да, встает другая проблема, если лимит соединений будет постоянно исчерпан, то никто нужный не подключиться..... а теперь посмотрим на новую проблему под другим углом - т.е. если досят сервис, досят намеренно, целенаправленно, и очень большим кол-вом машин, то обычно досят те сервисы, от которых и ожидают того, что сервисы помрут, и/или может еще и рута дадут. И в этот саый момент, когда ддос происходит, сервис обычно и так еле работает т.е. новый обычный пользователь один черт не сможет подключиться и сервисом пользоваться. Я клоню к тому, что если сервис досят, неважно, получиться у них это или нет сервис в любом случае перегружается и начинает работать еле-еле, т.е. при ддосе, работа обычным пользователям как не крути а не светит. И тут у нас есть выбор - либо мы не фаерволимся, сервис досят - пользователь не работает, сервис умирает, либо мы фаерволимся, сервис досят, пользователь не работает, но сервис остается живой и сдоровый. ИМХО, если мы не можем доса избежать, мы в первую очередь должны защитить сервис, а не возможность новых пользователей подключаться. Пока сервис досят, пользователь один фиг не сможет им нормально пользоваться.