[GTER] Telefonica diz que investirá R$70 milhões em servidores de DNS
Itamar Reis Peixoto
itamar at ispbrasil.com.br
Wed Jul 8 09:47:30 -03 2009
pois e'
até uma criança de 10 anos de idade sabe fazer isto.
destes 70 M vai rolar um jabá e um caixa 2, 3, 4 ,5 ,6 7, 8, 9 , 10 etc...
2009/7/8 Tukso Antartiko <tukso.antartiko at gmail.com>:
> A conta não fecha de jeito nenhum, estes dias montei um servidor dual
> com processadores quad-core e 32GB ECC. Considerando o imposto para
> mandar para o Brasil o custo total não passa de 10 mil reais.
>
> Enfim, para evitar DOS não é só comprar um monte de servidor parrudo,
> jogar lá e deixar o pau comer até aguentar, tem que planejar a
> arquitetura. Antes de tudo em uma situação destas você não precisa
> fazer log, que vai causar overhead, pode pegar por amostragem.
>
> Em segundo lugar, para grandes volumes, em um provedor doméstico, é
> estúpido usar o mesmo servidor do reverso para ser servidor recursivo
> dos seus clientes. Primeiro porque no reverso as consultas podem ficar
> todas fixas na memória, se for usar para recursivo vai sobrescrever
> este buffer. Segundo porque o endereço do seu reverso é visível para
> qualquer um e os crackers vão direto na jugular, se misturar os dois
> serviços já era, senão se atacarem o reverso você só perde ele.
>
> Em terceiro lugar cascateie os seus recursivos, de modo que o servidor
> que seu cliente acessa seja diferente do que faz a consulta. Primeiro
> porque se sua rede for grande e o ataque vier de dentro dela você pode
> fazer anycast no servidor do cliente. Segundo porque se o ataque for
> externo ele não vai acessar as máquinas usadas pelos seus clientes,
> você pode mudar dinamicamente os seus servidores que fazem a consulta
> para um local com melhor infraestrutura e pode colocar maiores
> restrições neste servidor. Isso tudo falando apenas o básico.
>
> On 7/7/09, Julio Arruda <jarruda-gter at jarruda.com> wrote:
>> Juliano Primavesi - Cyberweb Networks wrote:
>>>
>>> Sei não... tenho um celeron D aqui que faz 2000 QPS, gera log e nao faz
>>> nem cara feia...
>>
>> Bom, somente para algumas questoes de escala, na regiao da America
>> Latina, ja vi varios ataques contra servidores DNS, de > 200Kpps.
>>
>> E nao foram os maiores, 200Kpps podem ser gerados com 1000 zombies com
>> upstream de 256kbps (o que da uns 500 pps com 64 bytes/packet).
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
------------
Itamar Reis Peixoto
e-mail/msn: itamar at ispbrasil.com.br
sip: itamar at ispbrasil.com.br
skype: itamarjp
icq: 81053601
+55 11 4063 5033
+55 34 3221 8599
More information about the gter
mailing list