В компании, в которой я работаю, был однажды ддос сервера под фряхой. ЛА был 250+. Вот я и думаю, а бывает ли больше? И еще интересна зависимость ЛА от ширины атакующего канала.
> И еще интересна зависимость ЛА от ширины атакующего канала.
такой зависимости нету. есть зависимость от типа DDOS. если отакуют огромным количеством HTTP-запросов, то LA может достичь огромных пределов. а если же флудят UDP или ICMP, то LA наоборот ниже плинтуса по понятным причинам.
Высокие значения показателей load average говорят о том, что система не справляется с нагрузкой. Каждый раз, когда scheduler операционной системы приостанавливает выполнение какого-то процесса (или этот процесс сам отдаёт процессор), он должен выбрать другой процесс и запустить его. Для этого у него есть список процессов, которые ждут, пока для них освободится процессор. load average это средняя длина этого списка.
ИМХО простоплеер продает не контент, а удобный сервис доступа к нему. Можно и в контактике музыку слушать, но это же ппц неудобно. А ПП предоставляет такой сервис.
1000 на openvz-ноде, не ддос, нода работала нормально (:
А вообще la никогда не станет больше, чем количество запущенных в системе процессов. Т.е. каким бы сильным ни был ddos, если у апача maxclients 10, то...
я не наблюдал ни разу. несколько раз видел ICMP-флуд в несколько десятков гигабит, в основном флудят по UDP и не сколько широким каналом, сколько кучей мелких пакетов. ну и по HTTP иногда.
>ИМХО простоплеер продает не контент, а удобный сервис доступа к нему.
Линки на скачивания ведут на сайт самого простоплеера, а не на вконтактик. Плюс у них есть форма для загрузки музыки - http://prostopleer.com/upload . Потому можно предположить, что контент хранится у них на серверах, и продают они таки этот самый контент.
ЗЫ вообще LA может быть очень высоким при большом количестве процессов, а система может оставаться отзывчивой, ровно как и наоборот. Так что это не показатель.
Я, честно говоря, не знаток правил иптаблеса... правильно ли я понимаю, что эти рулзы вводят общее ограничение на SYN? Как тогда при атаке с сервером будут устанавливать соединение добросовестные хосты? Боты же лимит весь исчерпают.
Или это ограничение на запросы с каждого хоста? Но тогда против распределённой атаки ботнетом это неэффективно.
Тоже не шарю, но пишут такое. Параметр limit-burst задает объем бассейна (количество помещающихся в него пакетов), а параметр limit определяет скорость оттока через выходную трубу.
Если правильно понял, получается, что если реже 4 запросов в секунду, то всё норм, если чаще, то режем пакеты. Правила действуют для каждого айпи. Поправьте, если не так.