[GTER] Telefonica diz que investirá R$70 milhões em servidores de DNS
Tukso Antartiko
tukso.antartiko at gmail.com
Wed Jul 8 09:43:24 -03 2009
A conta não fecha de jeito nenhum, estes dias montei um servidor dual
com processadores quad-core e 32GB ECC. Considerando o imposto para
mandar para o Brasil o custo total não passa de 10 mil reais.
Enfim, para evitar DOS não é só comprar um monte de servidor parrudo,
jogar lá e deixar o pau comer até aguentar, tem que planejar a
arquitetura. Antes de tudo em uma situação destas você não precisa
fazer log, que vai causar overhead, pode pegar por amostragem.
Em segundo lugar, para grandes volumes, em um provedor doméstico, é
estúpido usar o mesmo servidor do reverso para ser servidor recursivo
dos seus clientes. Primeiro porque no reverso as consultas podem ficar
todas fixas na memória, se for usar para recursivo vai sobrescrever
este buffer. Segundo porque o endereço do seu reverso é visível para
qualquer um e os crackers vão direto na jugular, se misturar os dois
serviços já era, senão se atacarem o reverso você só perde ele.
Em terceiro lugar cascateie os seus recursivos, de modo que o servidor
que seu cliente acessa seja diferente do que faz a consulta. Primeiro
porque se sua rede for grande e o ataque vier de dentro dela você pode
fazer anycast no servidor do cliente. Segundo porque se o ataque for
externo ele não vai acessar as máquinas usadas pelos seus clientes,
você pode mudar dinamicamente os seus servidores que fazem a consulta
para um local com melhor infraestrutura e pode colocar maiores
restrições neste servidor. Isso tudo falando apenas o básico.
On 7/7/09, Julio Arruda <jarruda-gter at jarruda.com> wrote:
> Juliano Primavesi - Cyberweb Networks wrote:
>>
>> Sei não... tenho um celeron D aqui que faz 2000 QPS, gera log e nao faz
>> nem cara feia...
>
> Bom, somente para algumas questoes de escala, na regiao da America
> Latina, ja vi varios ataques contra servidores DNS, de > 200Kpps.
>
> E nao foram os maiores, 200Kpps podem ser gerados com 1000 zombies com
> upstream de 256kbps (o que da uns 500 pps com 64 bytes/packet).
>
More information about the gter
mailing list