видел и 120 =) на FreeBSD.

В компании, в которой я работаю, был однажды ддос сервера под фряхой. ЛА был 250+. Вот я и думаю, а бывает ли больше? И еще интересна зависимость ЛА от ширины атакующего канала.

Видел ~450.

> И еще интересна зависимость ЛА от ширины атакующего канала.

такой зависимости нету. есть зависимость от типа DDOS. если отакуют огромным количеством HTTP-запросов, то LA может достичь огромных пределов. а если же флудят UDP или ICMP, то LA наоборот ниже плинтуса по понятным причинам.

Я про наиболее популярный тип ддоса (ИМХО), т.е. про HTTP-запросы.

При таком ЛА в консоль-то вообще можно зайти?) Долго заходит?

Например, сейчас ддосят простоплеер гигабитным каналом. Какой у них ЛА? Есть телепаты?) Может кто знает сколько у них серверов?

> наиболее популярный тип ддоса (ИМХО), т.е. про HTTP-запросы.

глупость. как админ хостинга скажу, самый популярный тип ддоса - это UDP флуд мелкими пакетами.

При таком ЛА в консоль-то вообще можно зайти?) Долго заходит?

Долго. Это было последнее я что я увидел в консоли :-)

Хотя при 100-150 вполне себе отзывается.

p.s. 4 головый сервер с демьяном на борту.

Ок, буду знать.

>сейчас ддосят простоплеер гигабитным каналом.

И правильно делают. Надо /b/ратьев с ионной пушкой подключить еще.

ммм… А можно узнать, почему правильно?

скажите для тупых:

что это? (LA)
1я страница гугления оставила больше вопросов

Высокие значения показателей load average говорят о том, что система не справляется с нагрузкой. Каждый раз, когда scheduler операционной системы приостанавливает выполнение какого-то процесса (или этот процесс сам отдаёт процессор), он должен выбрать другой процесс и запустить его. Для этого у него есть список процессов, которые ждут, пока для них освободится процессор. load average это средняя длина этого списка.

Это если вкратце.

Коммент с хабры:

Разве на Prostopleerе был легальный контент? Откуда мода брать деньги за то, что своровано?

ИМХО простоплеер продает не контент, а удобный сервис доступа к нему. Можно и в контактике музыку слушать, но это же ппц неудобно. А ПП предоставляет такой сервис.

Такой сервис предоставляет дофига сайтов, в том числе и сам ВК (приложения)

Я ж не спорю) Но это не значит, что он не имеет права на существование. То что он удобен и найдет своего клиента, это вполне себе факт.

480.... Но при таком ЛА увидеть какой ЛА крайне сложно :)

Странный топик, правда.

1000 на openvz-ноде, не ддос, нода работала нормально (:

А вообще la никогда не станет больше, чем количество запущенных в системе процессов. Т.е. каким бы сильным ни был ddos, если у апача maxclients 10, то...

240 видел... :)

>сейчас ддосят простоплеер
С того момента, как он стал платным, он не нужен. Пусть ддосят.

А SYN-flood уже не в моде?

я не наблюдал ни разу. несколько раз видел ICMP-флуд в несколько десятков гигабит, в основном флудят по UDP и не сколько широким каналом, сколько кучей мелких пакетов. ну и по HTTP иногда.

Ну его уже каждый быдлоадмин по статейкам из инета научился иптаблесом резать)

>ИМХО простоплеер продает не контент, а удобный сервис доступа к нему.
Линки на скачивания ведут на сайт самого простоплеера, а не на вконтактик. Плюс у них есть форма для загрузки музыки - http://prostopleer.com/upload . Потому можно предположить, что контент хранится у них на серверах, и продают они таки этот самый контент.

ЗЫ вообще LA может быть очень высоким при большом количестве процессов, а система может оставаться отзывчивой, ровно как и наоборот. Так что это не показатель.

Хм, и как же иптаблесом эффективно резать SYN-flood? Нормальный распределённый с хреновой кучи хостов (ботнета).

Что-то типа этого, возможны варианты:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

Ну и нечастое это явление.

Я, честно говоря, не знаток правил иптаблеса... правильно ли я понимаю, что эти рулзы вводят общее ограничение на SYN? Как тогда при атаке с сервером будут устанавливать соединение добросовестные хосты? Боты же лимит весь исчерпают.
Или это ограничение на запросы с каждого хоста? Но тогда против распределённой атаки ботнетом это неэффективно.

не знаток

Тоже не шарю, но пишут такое. Параметр limit-burst задает объем бассейна (количество помещающихся в него пакетов), а параметр limit определяет скорость оттока через выходную трубу.

Если правильно понял, получается, что если реже 4 запросов в секунду, то всё норм, если чаще, то режем пакеты. Правила действуют для каждого айпи. Поправьте, если не так.

Все верно

Ну так можно же флудить по 3 запроса в секунду. При наличии хотя бы 1к ботов этого уже может хватить, чтобы средненький сервер захлебнулся.