ДНС и всё-всё-всё.

[ername]

Не лучше было бы на поддомене джабер делать напр. j.darkmoney.cc или же вовсе на отдельном домене.
и на отдельный серв.

имхо дарк лежит=жабер лежит
жабер лежит=дарк лежит.

не продуманно как-то.

 

[Bes73]

Не лучше было бы на поддомене джабер делать напр. j.darkmoney.cc или же вовсе на отдельном домене.
и на отдельный серв.

имхо дарк лежит=жабер лежит
жабер лежит=дарк лежит.

не продуманно как-то.

Наверно я еще мала я ничего не поняла(c).
Но простите какое отношение лежащий http сервис имеет к xmpp?
Общий домен не значит общий сервис и уж тем более общий сервер....
Если я не прав поясните админу-недоучке. :)

 

[ername]

Поясняю. ддос на дарк и ляжет жаббер ибо находится на той же площадке, а нагнется весь сервак. упал сервак, не доступны ни сайт ни жаба! И что значит, один домен не означает один сервер. Еще как означает. Как вы один домен в ДНС записях направите на 2 сервака одновременно?

 

[Bes73]

Поясняю. ддос на дарк и ляжет жаббер ибо находится на той же площадке, а нагнется весь сервак. упал сервак, не доступны ни сайт ни жаба! И что значит, один домен не означает один сервер. Еще как означает. Как вы один домен в ДНС записях направите на 2 сервака одновременно?

Солнышко, один домен НИКОГДА НЕ ОЗНАЧАЛО 1 сервер. Более того, один домен не значит даже что это один http сервер. :) Я не буду распостраняться про лоад бэленсинг и подобное я просто приведу пример описания зоны из банального бинда. :)

$TTL 1h
@ IN SOA ns1.my-ns-server.com. hostmaster.example.com. (
2007022600 ; Serial
3h ; Refresh
1h ; Retry
1w ; Expiry
1d ; TTL
)

;;; NS ;;;
NS ns1.my-ns-server.com.
NS ns.my-secondary-ns.com.

;;; MX ;;;
MX 10 mx.example.com.

;;; A ;;;
A 192.168.0.1
www CNAME @
mx A 192.168.0.2
www1 CNAME 192.168.0.2


Мог и немного напутать. Давно не писал биндовых конфигов. Но по моему я мысль передал вполне однозначно.

 

[ername]

Солнышко, один домен НИКОГДА НЕ ОЗНАЧАЛО 1 сервер. Более того, один домен не значит даже что это один http сервер. :) Я не буду распостраняться про лоад бэленсинг и подобное я просто приведу пример описания зоны из банального бинда. :)

$TTL 1h
@ IN SOA ns1.my-ns-server.com. hostmaster.example.com. (
2007022600 ; Serial
3h ; Refresh
1h ; Retry
1w ; Expiry
1d ; TTL
)

;;; NS ;;;
NS ns1.my-ns-server.com.
NS ns.my-secondary-ns.com.

;;; MX ;;;
MX 10 mx.example.com.

;;; A ;;;
A 192.168.0.1
www CNAME @
mx A 192.168.0.2
www1 CNAME 192.168.0.2


Мог и немного напутать. Давно не писал биндовых конфигов. Но по моему я мысль передал вполне однозначно.

Мы ведь не про http серверы, как сервис ОС речь ведем, а про физический сервер ну или виртуалка VPS. И в вашем конфиге один домен всеже означает один сервер - а это A 192.168.0.1

Покажите мне еще одну А запись, которая указывает на другой сервер и работает? А для XMPP сервера нужна А запись на него.

Вы даже не сможете на разные ip на одном сервере повесить одну и ту же А запись. Это конфликт днс сервера в итоге! Солнышко!

 

[VCC]

Bes73 ,ваша очередь:D Без обид,интересно,чья возмёт.

 

[Bes73]

Мы ведь не про http серверы, как сервис ОС речь ведем, а про физический сервер ну или виртуалка VPS. И в вашем конфиге один домен всеже означает один сервер - а это A 192.168.0.1

Покажите мне еще одну А запись, которая указывает на другой сервер и работает? А для XMPP сервера нужна А запись на него.

Вы даже не сможете на разные ip на одном сервере повесить одну и ту же А запись. Это конфликт днс сервера в итоге! Солнышко!

Для начала А запись это хост, а не домен.
Говорю же мог и напутать с конфигом. Но солнышко, послушай меня сюда:
ww1.domen.com и ww2.domen.com могут находиться на разных серверах? Могут. И ip у них могут быть разными. И при этом всё это как-то находясь в одном и том-же домене domen.com не вызывает конфликта ДНС. Подумай об этом. Не надо путать домен и хост.

Кроме всего прочего давно существуют технологии которые позволяют агрегировать фермы серверов для поддержки одного хоста без кластеризации. То есть когда хост www.domen.com расположен на нескольких физически и логически разных серверах с разными ip и более того расположенными в разных станах физически.

Прежде чем спорить, почитай основы именования в сети интернет и основы адресации в ip-сетях.

Если хочешь продолжить спор то я перенесу несущественные для этой темы сообщения в другую тему во флейм и там продолжим. А тут это стало уже флудом.

 

[ername]

Для начала А запись это хост, а не домен.
Говорю же мог и напутать с конфигом. Но солнышко, послушай меня сюда:
ww1.domen.com и ww2.domen.com могут находиться на разных серверах? Могут. И ip у них могут быть разными. И при этом всё это как-то находясь в одном и том-же домене domen.com не вызывает конфликта ДНС. Подумай об этом. Не надо путать домен и хост.

Кроме всего прочего давно существуют технологии которые позволяют агрегировать фермы серверов для поддержки одного хоста без кластеризации. То есть когда хост Domain Names | The World's Largest Domain Name Registrar - GoDaddy расположен на нескольких физически и логически разных серверах с разными ip и более того расположенными в разных станах физически.

Прежде чем спорить, почитай основы именования в сети интернет и основы адресации в ip-сетях.

Если хочешь продолжить спор то я перенесу несущественные для этой темы сообщения в другую тему во флейм и там продолжим. А тут это стало уже флудом.

Воооот. Что я и писал. Не может сайт darkmoney.cc и xmpp сервер @darkmoney.cc находится на разных серверах. Вы же мне приводите поддомены. Именно это я и писал, что стоит разместить жабер на поддомене на стороннем сервере. Поддомены также являются полноценными доменами 3го уровня! Хостом это называется какраз в рамках одного сервиса - http. В ДНС нету и быть не может понятия хост. Это - днс запись либо зона, но не хост!!!

Продолжать не буду - это елементарные вещи в администрировании. Вы возможно не так поняли или не читали мой первый пост в этой теме.

Прежде чем спорить, почитай основы именования в сети интернет и основы адресации в ip-сетях.

Тут я просто улыбнулся.

 

[Bes73]

Воооот. Что я и писал. Не может сайт darkmoney.cc и xmpp сервер @darkmoney.cc находится на разных серверах. Вы же мне приводите поддомены. Именно это я и писал, что стоит разместить жабер на поддомене на стороннем сервере. Поддомены также являются полноценными доменами 3го уровня! Хостом это называется какраз в рамках одного сервиса - http. В ДНС нету и быть не может понятия хост. Это - днс запись либо зона, но не хост!!!

Продолжать не буду - это елементарные вещи в администрировании. Вы возможно не так поняли или не читали мой первый пост в этой теме.

Тааак, бегом учить терминологию, а потом еще быстрее учить основы именования в сети интернет и основы адресации в ip-сетях.
Контрольные вопросы:
Что такое хост?
Что такое домен?
Что такое А-запись в ДНС?

Любой из моих админов был бы немедленно уволен за фразу: В ДНС нету и быть не может понятия хост.

Мне даже уже не смешно.

 

[ername]

Тааак, бегом учить терминологию, а потом еще быстрее учить основы именования в сети интернет и основы адресации в ip-сетях.
Контрольные вопросы:
Что такое хост?
Что такое домен?
Что такое А-запись в ДНС?

Любой из моих админов был бы немедленно уволен за фразу: В ДНС нету и быть не может понятия хост.

Мне даже уже не смешно.

Я уже было подумал, что мне трудовую пора выбрасывать с записью
2009г о принятии на работу системным администратором и диплом МП. Даже в гугл полез, но такого как хост в ДНС понятия там не обнаружил. Поклал трудовую обратно в шкафчик ;)

Обратимся к википедии
DNS — Википедия
упоминается хост, но совсем в другом понятии (по имени хоста, не как запись в зоне)
Хост — Википедия очень далеки понятия от днс, верно?

Чаще всего, однако, под «хостом» без дополнительных комментариев подразумевается хост протокола TCP/IP, то есть сетевой интерфейс устройства, подключённого к IP-сети. Как и всякий другой хост, этот имеет уникальное определение в среде сервисов TCP/IP (IP-адрес). С хостом протокола TCP/IP может быть также связана необязательная текстовая характеристика — доменное имя.

Тоесть допускаю еще такую формулировку, что днс запись указывает на хост. Но то, что она является хостом, простите - это чушь.

 

[Bes73]

Я уже было подумал, что мне трудовую пора выбрасывать с записью
2009г о принятии на работу системным администратором и диплом МП. Даже в гугл полез, но такого как хост в ДНС понятия там не обнаружил. Поклал трудовую обратно в шкафчик ;)

в 2009-ом я эту запись в своей трудовой уже бы и не нашел.

Обратимся к википедии
DNS — Википедия
упоминается хост, но совсем в другом понятии (по имени хоста, не как запись в зоне)

Из этой статьи:
Наиболее важные типы DNS-записей:
Запись A (address record) или запись адреса связывает имя хоста с адресом протокола IPv4. Например, запрос A-записи на имя referrals.icann.org вернёт его IPv4-адрес — 192.0.34.164.

Вы всё еще продолжаете настаивать что такого ПОНЯТИЯ как хост нет в ДНС?

Хост — Википедия очень далеки понятия от днс, верно?

Неверно. Не просто не далеки, а явно связаны. О чем и говорит Ваша цитата ниже.

Чаще всего, однако, под «хостом» без дополнительных комментариев подразумевается хост протокола TCP/IP, то есть сетевой интерфейс устройства, подключённого к IP-сети. Как и всякий другой хост, этот имеет уникальное определение в среде сервисов TCP/IP (IP-адрес). С хостом протокола TCP/IP может быть также связана необязательная текстовая характеристика — доменное имя.

Вот эта цитата.

То есть допускаю еще такую формулировку, что днс запись указывает на хост. Но то, что она является хостом, простите - это чушь.

А что тут допускать? Это так и есть.
Да именно. Запись в базе данных ДНС сервиса хостом являтся не может так как это ЗАПИСЬ В БД. Но такую-то очевидную чушь не надо по моему сообщать.

Вы еще начните цепляться к запятым в моих фразах и будет полный пипец. Мы говорим о техническом предмете и в контексте конкретного технического предмета.

А по существу: то что Вы сказали в своем первом посте на тему ДНС было полнейшей ярундой. Начиная с того что давно уже антиДДоС системы способны дифференцировать атаку. То есть при лежащем от ДДоСа http, ftp на том-же самом физическом сервере может нормально функционировать. Один домен могут представлять масса серверов и при этом никаких конфликтов в ДНС не будет. В одном домене может быть несколько сервисов которые расположены на разных серверах и это тоже не будет вызывать никаких конфликтов. Как это сделать, возьмите и изучите.

После консультации перенесу все наши излияния в другой топик.

 

[ername]

в 2009-ом я эту запись в своей трудовой уже бы и не нашел.


Из этой статьи:
Наиболее важные типы DNS-записей:
Запись A (address record) или запись адреса связывает имя хоста с адресом протокола IPv4. Например, запрос A-записи на имя referrals.icann.org вернёт его IPv4-адрес — 192.0.34.164.

Вы всё еще продолжаете настаивать что такого ПОНЯТИЯ как хост нет в ДНС?



Неверно. Не просто не далеки, а явно связаны. О чем и говорит Ваша цитата ниже.



Вот эта цитата.



А что тут допускать? Это так и есть.
Да именно. Запись в базе данных ДНС сервиса хостом являтся не может так как это ЗАПИСЬ В БД. Но такую-то очевидную чушь не надо по моему сообщать.

Вы еще начните цепляться к запятым в моих фразах и будет полный пипец. Мы говорим о техническом предмете и в контексте конкретного технического предмета.

А по существу: то что Вы сказали в своем первом посте на тему ДНС было полнейшей ярундой. Начиная с того что давно уже антиДДоС системы способны дифференцировать атаку. То есть при лежащем от ДДоСа http, ftp на том-же самом физическом сервере может нормально функционировать. Один домен могут представлять масса серверов и при этом никаких конфликтов в ДНС не будет. В одном домене может быть несколько сервисов которые расположены на разных серверах и это тоже не будет вызывать никаких конфликтов. Как это сделать, возьмите и изучите.

После консультации перенесу все наши излияния в другой топик.

Все верно говорите, мы видимо таки друг друга не так поняли. Я был убежден, что вы доменную запись, ну или файл зоны хостом называете, но ведь это не так. Вы же решили, что я имею ввиду, что нельзя направить субдомены либо же пр. записи на стороннюю площадку. А ведь я отвечал на вопрос:

Но простите какое отношение лежащий http сервис имеет к xmpp?

и причем сервисы к лежащему тазику? еще раз повторюсь, если упадет сервер, отвалится сеть в ДЦ, ip unroute(бывало и такое, в дц тоже криворуких хватает), ддос, домен разделегируют, абуза прикатит и машину оффнут, kernel panic на худой конец, да и много чего может произойти, тогда что говорить о лежащем http?


Единственное, что ддос в нынешнее время не просто куча тупых ботов ломящихся по определенному протоколу. Если это не школоддос а заказной по разным протоколам + syn флуд, при этом забивающий весь канал, не лечь будет тяжело.
Встречаются в моей практике не атаки, а прям произведение искуства, так что "не зарекайся"
Поэтому очень разумно будет разместить джаббер сервер на другой площадке, даже лучше на другом домене, как в теме справедливо заметили - dm.cc или подобные не плохо бы подошел.

 

[Stax]

и причем сервисы к лежащему тазику? еще раз повторюсь, если упадет сервер, отвалится сеть в ДЦ, ip unroute(бывало и такое, в дц тоже криворуких хватает), ддос, домен разделегируют, абуза прикатит и машину оффнут, kernel panic на худой конец, да и много чего может произойти, тогда что говорить о лежащем http?


Единственное, что ддос в нынешнее время не просто куча тупых ботов ломящихся по определенному протоколу. Если это не школоддос а заказной по разным протоколам + syn флуд, при этом забивающий весь канал, не лечь будет тяжело.
Встречаются в моей практике не атаки, а прям произведение искуства, так что "не зарекайся"
Поэтому очень разумно будет разместить джаббер сервер на другой площадке, даже лучше на другом домене, как в теме справедливо заметили - dm.cc или подобные не плохо бы подошел.

В дата центре ничего не повалится, если атаковать будут именно сервер. Порой люди настраивают программную защиту так, что проще рубить маршрутизатор. Но в таком случае отвалится не весь дц, а только те, кто стоит на шаред канале (как правило, выделенной магистрали на сервак не дают, а скажем 100 мегабит делят между 5+- серверами). Как они могут разделегируют? Абуза может быть за проведении ддос атаки, а не за атаку на ресурс.

Реализовать на одном домене жабу и сайт можно, как я уже писал в вашей предыдущей теме - через айпитэйблс. Не претендую на панацею, но в моем понимании оно так и будет выглядеть.

Однако, при атаке ддосер сканирует открытые порты на домене. И вне зависимости от того, другой это сервер или нет - порт успешно прозвонят, и направят ботов долбить туда. Тобишь, ставьте не ставьте, а сервер все равно убьют. Те, кто будет заказывать атаку явно закажут и жабер сервер. Но тут как говориться, волков не бояться - в лес не ходить. От любой атаки можно защититься, и любую защиту можно положить - масло масляное, а имеет место быть. Все зависит исключительно от бюджета заказчика. На моей памяти был такой чел, Костич. Так вот тот пиарил свой проект антиддос защиты на серч.энгине. За хостинг берет бешенные бабки, имеет много клиентов, и публично опозорился когда сказал что его хостинг не возможно положить. Ему доказали обратное.

 

[Bes73]

Я был убежден, что вы доменную запись, ну или файл зоны хостом называете.....

Да мне бы в самом старшном бреду бы такое не могло в голову прийти. Даже по малолетке. :)

Вы же решили, что я имею ввиду, что нельзя направить субдомены либо же пр. записи на стороннюю площадку.

Нет, я как раз утверждаю что вы путаете понятие хост и домен/поддомен.
Если расшифровывать полное ДНС имя хоста (например ftp.dm.cc) то фактически ftp - это имя хоста, а dm.cc это имя домена.
ДНС позволяет под одним полным ДНС именем хоста собрать несколько отдельных физических (виртуальных) маших которые будут иметь разные ip адреса, один и тот-же вид сервиса и нормально сосуществовать не нарушая правил. Например такое позволяет реализовать РоундРобин.

Кроме этого в одном и том-же домене могут быть как на разных так и на одной машине разные сервисы например (ftp.dm.cc и www.dm.cc) и это так-же не нарушает правил ДНС.

еще раз повторюсь, если упадет сервер, отвалится сеть в ДЦ, ip unroute(бывало и такое, в дц тоже криворуких хватает), ддос, домен разделегируют, абуза прикатит и машину оффнут, kernel panic на худой конец, да и много чего может произойти.....

А если дождь во время сушки?(c)
Это может произойти и с двумя разными площадками одновременно. (Вероятность конечно на много ниже но не на столько чтобы покупать 2 совсем разных хостинга и только ради этого платить двойную цену) И даже если сервис http будет на одной площадке, а сервис xmpp на другой то это ни как не мешает им использовать одно и то-же доменное имя. Как структурно расположены сервисы на имеет отношения к тому какие им вязать домены.

Единственное, что ддос в нынешнее время не просто куча тупых ботов ломящихся по определенному протоколу. Если это не школоддос а заказной по разным протоколам + syn флуд, при этом забивающий весь канал, не лечь будет тяжело.
Встречаются в моей практике не атаки, а прям произведение искуства, так что "не зарекайся"

Какие бывают ДДос атаки я знаю не по наслышке. И то что некоторые из них действительно тянут на произведение искусства - согласен. Но 99% процентов современных атак играючи отбиваются современным АнтиДДоС-ом.

Поэтому очень разумно будет разместить джаббер сервер на другой площадке, даже лучше на другом домене, как в теме справедливо заметили - dm.cc или подобные не плохо бы подошел.

А вот тут я разумного ничего не усматриваю. Это вопрос экономической целесообразности. И не более. Конечно приятно осознавать что твои сервисы находятся на разных серверах в разных ДЦ и на разных планетах и тем самым защищены от катаклизмов планетарного масштаба, а бакапы лежат так и вообще в другой галактике, но тем не менее как я и говорил это вопрос экономической целесообразности. А к доменным именам этот вопрос так и вообще относится крайне опосредованно.

Однако, при атаке ддосер сканирует открытые порты на домене. И вне зависимости от того, другой это сервер или нет - порт успешно прозвонят, и направят ботов долбить туда.

Именно. И уж поверьте при заказе укажут все домены необходимые, так как их имена не секрет. :D А на скольких серверах и на скольких площадках будет всё это размазано значения особого не имеет.

От любой атаки можно защититься, и любую защиту можно положить - масло масляное, а имеет место быть. Все зависит исключительно от бюджета заказчика.

Именно. Старый спор о пистолете и бронежелете.

.........и публично опозорился когда сказал что его хостинг не возможно положить. Ему доказали обратное.

Никогда не говори никогда. :D

 

[ername]

Опять же, вы путаете понятие хост и хостнейм. Это разные вещи. не может часть доменного имени называтся хостом. Я понимаю что вы хотите мне донести, но вы чуть не верно себе представляете понятия. Хост - любое устройство, предоставляющее сервисы. Как может быть текстовая запись хостом, а также ее часть? Да это имя хоста, но не хост.

А я всегда думал, что экономия не уместна в серьезных проектах. Тем более какие-то 20-50 баксов в мес экономией то и назвать сложно. Более того, разнося сервисы(даже тот же сервер БД) по разным машинам всегда целесообразно и в этом очень много плюсов. Хотя и минусы тоже присутствуют.

Я прекрасно знаю, что можно сделать распределение и даже геозависимые днс, но спрашивается, зачем этот костыль? Чем проще все организовано, тем лучше!

Но 99% процентов современных атак играючи отбиваются современным АнтиДДоС-ом.

Специфика борда такова, что подозреваю, ловит он фуфлоддосы каждый день, но и продуманные боты частенько заглядывают. В этом я не сомневаюсь. Еще тот факт, что борд чут ли не каждый день либо тупит либо с еррорами бд валится, наводит на мысли, что таки стоит задуматся о более серьезном подходе к этому.

Сомневаюсь, что трафик здесь фильтруется собственным циской или жунипером. CloudFlare не всегда спасает, и даже часто фильтрует легитимных пользователей.

Под такой проект как дарк я бы брал серьезный тазик с железным фаерволом и серьезным каналом в 2 сетевухи. Еще немного популярности и будет отлежка ежедневно. Но это конечно не мне решать, а вашим админам. Да и проблемы нужно решать по мере их поступления.. ))

В дата центре ничего не повалится, если атаковать будут именно сервер.

Вывидимо не часто сталкиваетесь с цодами. раз в год у любого ДЦ бывают аварии, в основном сеть, но и оборудование подводит, админы натупят и пр. Вплоть до того, что сгорают нахрен. Я уже научен этим, особенно когда на твоем обслуживании тысячи сайтов и клиенты потом орут, отдай бекап!

 

[Bes73]

Опять же, вы путаете понятие хост и хостнейм.

Я устал бодаться и играть в слова. Закрываем тему. А то точно докатимся до запятых.

А я всегда думал, что экономия не уместна в серьезных проектах. Тем более какие-то 20-50 баксов в мес экономией то и назвать сложно.

Если бы речь шла о несчастных 20-50 баксах в месяц, то и разговора бы не было. :)

 

[ername]

Я устал бодаться и играть в слова. Закрываем тему. А то точно докатимся до запятых.

Полностью солидарен!

 

[Stax]

Специфика борда такова, что подозреваю, ловит он фуфлоддосы каждый день, но и продуманные боты частенько заглядывают. В этом я не сомневаюсь. Еще тот факт, что борд чут ли не каждый день либо тупит либо с еррорами бд валится, наводит на мысли, что таки стоит задуматся о более серьезном подходе к этому.

То, что вы описали скорее не от доса, а от не оптимизированной базы. У булки с этим всегда были проблемы, и первым делом не то, что при атаках, а просто при наплыве трафика - отваливалась база.

Сомневаюсь, что трафик здесь фильтруется собственным циской или жунипером. CloudFlare не всегда спасает, и даже часто фильтрует легитимных пользователей.

Абсолютно любая защита имеет % ошибки. И как я могу судить, этот процент ниже 8 - свести просто не возможно. Клауд - давно доказал свое право на жизнь и является одним их лучших хостингов. Да и собственно у них есть функция расширения параметров если мне не изменяет память, тобишь если атака сильная - расширил параметры, сиди дальше.

Под такой проект как дарк я бы брал серьезный тазик с железным фаерволом и серьезным каналом в 2 сетевухи. Еще немного популярности и будет отлежка ежедневно. Но это конечно не мне решать, а вашим админам. Да и проблемы нужно решать по мере их поступления.. ))

Ну да, а еще можно взять 10 серверов, выстраивать кластер и сидеть. Только вот на проектирование нужных правил под ту же циску - у вас уйдет не меньше полу года. За это время вы замучаетесь с блокировкой легитимных пользователей, с блокировкой фаером ПС, с некорректным распознаванием атаки.

Из своего опыта могу сказать, не помогают ни фаерволы, ни скрипты когда стоит четкая задача на атаку. Вполне реально выпалить все сервера в связке, выпалить что куда идет, и даже по какому признаку блокируются боты.