Co Sadzicie O Klientach Firm Hostingowych ?

[szirok 0]

Od jakiegos czasu widzimy kolejne pady lepszych i tych gorszych firm , generalnie juz praktycznie kazda firma zaliczyla pady ( moze sie myle ale raczej prawie wszyscy juz mieli rzadsze lub czestsze pady), zatem moze jakis wniosek tudziez podsumowanie? Jak na razie wypowiadaja sie sami klienci i to nie na temat ogolnej genezy padow tylko na temat konkretnych padow konkretnej firmy ale moze to zbierzemy "do kupy" i omowimy problem ? Prosze Druga strone (uslugodawcow) o zabranie glosu.

Dziekuje

[hyhyhy 0]

Hmm, ostatni pad na swoich serverach miałem szczerze mówiąc... nawet nie pamiętam, lecz głównie pady (http) zdarzają się przez spore obciążenie systemu, na które składają się błędnie napisane skrypty, które się zapętlają i lagują strasznie system... również obciążenie zawdzięcza się głupim php-nukom etc, które obciążają z kolei mysqla, który poprostu czasem już nie wyrabia... Zdarzają się też ataki ddos, na które obrony zabardzo nie ma, gdyż jeśli dane IP (przeważnie główne) jest atakowane na porcie 80/udp, to nie dość, że strasznie obciąża łącze (kumplowi zjadło wczoraj 2TB) to i server... Cóż, dobry administrator wie, jak naprawić przeważnie każdy problem i wtedy downtime nie jest tak wysoki... A teraz nietrudno zauważyć, że pseudo administracją zajmują sie poprostu dzieciaki, które zainstalowały sobie mdk i myślą, że już coś potrafią... w tym fachu akurat ciągle poznaje się coś nowego... A jeszcze niektórzy (przykład z życia) restartują server po padzie apache... Tak więc poprostu brakuje fachowych adminów, którzy mieliby kontrole nad serverem i wiedzieli co robią... Pozdr.

[vilgefortz 75]

A o czym tu gadac ?

To, ze awria sie pojawi jest tak pewne jak to, ze Kopernik umarl.

Problem jest wtedy gdy:

 

- awarie pojawiaja sie zbyt czesto /nie wiadomo co jest ich przyczyna

- nie mamy wiedzy / srodkow / zasobow ludzkich do ich usuniecia.

 

Zreszta to temat rzeka ...

 

Pozdrawiam

 

VIl

[michalpc 0]

Problem leży wiadomo gdzie , ceny osiągają taki poziom że niżej sie nie da zejść, a klienci chcą taniej.

Ostatnio z najciekawsze z zapytan na bok miałem czy sprzedam resellera 2GB (powiedzchni) /120GB(transferu) za 50zł rok w płatnościach miesięcznych bo przecież konta mam w USA, a taka interia-strefa sprzedaje za 100zł w Polsce.

 

Przy okazji spotkałem się z bardzo brzydkim zachowaniem niektórych firm w usa z nieograniczonym transferem , brakuje miejsca na dysku giną największe konta i nie ma backupu.

 

Ja staram się utrzymać np 90% zajętości a Wy?

[szirok 0]

A o czym tu gadac ?

 

poczytasz temat jak rozmowa sie rozwinie to na pewno dowiesz sie o czym

 

Problem leży wiadomo gdzie , ceny osiągają taki poziom że niżej sie nie da zejść, a klienci chcą taniej.

Ostatnio z najciekawsze z zapytan na bok miałem czy sprzedam resellera 2GB (powiedzchni) /120GB(transferu) za 50zł rok w płatnościach miesięcznych bo przecież konta mam w USA, a taka interia-strefa sprzedaje za 100zł w Polsce.

 

Przy okazji spotkałem się z bardzo brzydkim zachowaniem niektórych firm w usa z nieograniczonym transferem , brakuje miejsca na dysku giną największe konta i nie ma backupu.

 

Ja staram się utrzymać np 90% zajętości a Wy?

 

oczywiscie nizej z cenami da sie schodzic i to mocno ale to nic nie daje, bo sprzedajemy potem nie usluge a overselling a chyba nie o to chodzi. Konta gina, backupu nikt nie robi, bo sie nie oplaca przy tych cenach prawdopodobnie. 90% zajetosci itp. wydaje mi sie, ze nie ma to wiekszego znaczenia, gdyz i tak wystarczy 1 klient, ktory powali serwer( a jak nie to jakis atak )

[Gość adamszendzielorz]

Jak na razie wypowiadaja sie sami klienci i to nie na temat ogolnej genezy padow tylko na temat konkretnych padow konkretnej firmy ale moze to zbierzemy "do kupy" i omowimy problem ? Prosze Druga strone (uslugodawcow) o zabranie glosu.

 

Pady sie zdarzaja i zdarzac sie beda wszystkim bez wyjatku. Tutaj nie ma co dyskutowac - zakladajac srednia cene konta na 200-400 pln nie ma co liczyc na klaster gdzie absolutnie wszystko bedzie zdublowane na wypadek awarii. Nie ten przedzial cenowy. Zakladajac jednak, ze sprzet produkowany obecnie dysponuje naprawde sensowna zywotnoscia i wysoka odpornoscia na awarie, wystarczy zadbac o porzadny system backupu danych i procedury jego przywracania na wypadek awarii. Bardzo wazny jest tez system monitoringu pracy serwerow (poczawszy od recznej analizy logow, przez skryptowe "powiadamiacze" o niedostepnosci wszystkich najwazniejszych uslug, skonczywszy na automatycznym monitoringu temperatur z czujnikow na plycie glownej, z szybkim ostrzeganiem np. via sms). Niezbedna wydaje sie przynajmniej jedna maszyna zapasowa, do ktorej w razie stwierdzenia jakichs nieprawidlowosci mozna bedzie przerzucic dyski i zminimalizowac downtime do max. kilku minut. Niestety wiele "mlodych hostingow" (nie bede wymieniac nazw) zapomina nawet o najprostszym backupie i w razie padu dysku wszystkie dane znikaja, a ich administratorzy robia wielkie oczy... "przeciez ten dysk mial wytrzymac 10 lat bez awarii... "

 

Jezeli chodzi o progreso - w swojej historii (od '99) mielismy dwa duze pady (w 2000 i 2003 r.) trwajace ok. 12h ktore objely blisko polowe klientow, a ktore spowodowane byly wlasnie padem dyskow. Niestety wtedy jeszcze nie dysponowalismy wszystkim tym, o czym pisalem wczesniej w zwiazku z czym procedury powrotu calosci online zajely blisko 12h. Bylo rowniez kilka mniejszych (pad klimatyzacji i cykliczne restartowanie sie maszyn z przegrzania, 3-4 pady dyskow - tutaj juz nasz system backupowy zadzialal perfekcyjnie i wiekszosc klientow nawet nie zauwazyla padow, bo trwaly nie dluzej niz 5 min).

 

Podsumowujac - nie wydajac kosmicznych kwot przy dobrej organizacji kazdy, nawet maluczki jest w stanie przygotowac takie procedury postepowania, zeby pady byly w ocenie klientow praktycznie niezauwazalne.

[szirok 0]

Pady sie zdarzaja i zdarzac sie beda wszystkim bez wyjatku. Tutaj nie ma co dyskutowac - zakladajac srednia cene konta na 200-400 pln nie ma co liczyc na klaster gdzie absolutnie wszystko bedzie zdublowane na wypadek awarii. Nie ten przedzial cenowy. Zakladajac jednak, ze sprzet produkowany obecnie dysponuje naprawde sensowna zywotnoscia i wysoka odpornoscia na awarie, wystarczy zadbac o porzadny system backupu danych i procedury jego przywracania na wypadek awarii. Bardzo wazny jest tez system monitoringu pracy serwerow (poczawszy od recznej analizy logow, przez skryptowe "powiadamiacze" o niedostepnosci wszystkich najwazniejszych uslug, skonczywszy na automatycznym monitoringu temperatur z czujnikow na plycie glownej, z szybkim ostrzeganiem np. via sms). Niezbedna wydaje sie przynajmniej jedna maszyna zapasowa, do ktorej w razie stwierdzenia jakichs nieprawidlowosci mozna bedzie przerzucic dyski i zminimalizowac downtime do max. kilku minut. Niestety wiele "mlodych hostingow" (nie bede wymieniac nazw) zapomina nawet o najprostszym backupie i w razie padu dysku wszystkie dane znikaja, a ich administratorzy robia wielkie oczy... "przeciez ten dysk mial wytrzymac 10 lat bez awarii... "

 

Jezeli chodzi o progreso - w swojej historii (od '99) mielismy dwa duze pady (w 2000 i 2003 r.) trwajace ok. 12h ktore objely blisko polowe klientow, a ktore spowodowane byly wlasnie padem dyskow. Niestety wtedy jeszcze nie dysponowalismy wszystkim tym, o czym pisalem wczesniej w zwiazku z czym procedury powrotu calosci online zajely blisko 12h. Bylo rowniez kilka mniejszych (pad klimatyzacji i cykliczne restartowanie sie maszyn z przegrzania, 3-4 pady dyskow - tutaj juz nasz system backupowy zadzialal perfekcyjnie i wiekszosc klientow nawet nie zauwazyla padow, bo trwaly nie dluzej niz 5 min).

 

Podsumowujac - nie wydajac kosmicznych kwot przy dobrej organizacji kazdy, nawet maluczki jest w stanie przygotowac takie procedury postepowania, zeby pady byly w ocenie klientow praktycznie niezauwazalne.

 

ciesze sie Adam, ze poruszyles temat sprzetowego zabezpieczenia, natomiast jak strzezecie sie przed roznego rodzaju natrectwami typu ataki na serwery itp.

[Gość Bartosz Gadzimski]

Co do tematu myslę, że wszystko wiąże się ze świadomością klientów i pewnym podejściem w różnych grupach docelowych.

 

Pewne grupy trzeba edukować, a pewne wychowywać.

[Gość adamszendzielorz]

Hmm, ostatni pad na swoich serverach miałem szczerze mówiąc... nawet nie pamiętam, lecz głównie pady (http) zdarzają się przez spore obciążenie systemu, na które składają się błędnie napisane skrypty, które się zapętlają i lagują strasznie system...

 

To czemu jeszcze nie masz odpalonych ograniczen ?

Limity na max. CPU TIME, na zjadany RAM, na max ilosc uruchomionych procesow. No i oczywiscie odpowiednie priorytety uruchamianych procesow + powiadamianie o ew. zapetleniu sie skryptu klienta i natychmiastowa reakcja administratora (sprawdzenie co to, wyciagniecie wszystkich mozliwych danych o danym procesie, ubicie procesu, kontakt z klientem, dokladny monitoring konta klienta i jezeli problem sie powtarza - blokada skryptu). Jezeli nie jestes zabezpieczony przed tak prostym "DoSem" jak zjedzenie calej pamieci przez skrypty to nie powinienes sie nawet do tego przyznawac publicznie...

 

również obciążenie zawdzięcza się głupim php-nukom etc, które obciążają z kolei mysqla, który poprostu czasem już nie wyrabia...

 

Utrzymuje dziesiatki phpnukow i wszystko jakos "wyrabia". Moze czas na upgrade maszyny albo trzymanie mniejszej liczby klientow na jednej maszynie ?

 

Zdarzają się też ataki ddos, na które obrony zabardzo nie ma, gdyż jeśli dane IP (przeważnie główne) jest atakowane na porcie 80/udp, to nie dość, że strasznie obciąża łącze (kumplowi zjadło wczoraj 2TB) to i server...

 

Wystarczy dobry firewall u Operatora ktory wykryje i natychmiast wytnie delikwenta/ow. Polecam rowniez dostawic sobie nawet 64kbps niezalezne lacze do remote-KVMa, czy do zdalnych konsol w serwerach. Mozna zareagowac natychmiast.

 

Cóż, dobry administrator wie, jak naprawić przeważnie każdy problem i wtedy downtime nie jest tak wysoki... A teraz nietrudno zauważyć, że pseudo administracją zajmują sie poprostu dzieciaki, które zainstalowały sobie mdk i myślą, że już coś potrafią... w tym fachu akurat ciągle poznaje się coś nowego... A jeszcze niektórzy (przykład z życia) restartują server po padzie apache... Tak więc poprostu brakuje fachowych adminów, którzy mieliby kontrole nad serverem i wiedzieli co robią...

 

I tu sie z Toba zgodze w 100%. Ci pseudo administratorzy albo nie maja wogole pojecia o istnieniu roznych systemow / procedur ktore w wiekszosci przypadkow pomagaja utrzymac serwer online w przypadku roznych awarii / padow / wlamow / DoSow, albo poprostu ich na nie nie stac i odwalaja "fuszerke".

pozdr.

 

 

ciesze sie Adam, ze poruszyles temat sprzetowego zabezpieczenia, natomiast jak strzezecie sie przed roznego rodzaju natrectwami typu ataki na serwery itp.

 

Tzn. jakie ataki ? Nie odnotowalismy zadnego udanego DoSa gdzies od 2002r. kiedy maszyny staly na 10Mbitowym Polpak-t w naszej malej serwerowni w Jastrzebiu, a najpopularniejsza rozrywka niektorych naszych userow byly przejecia IRCNetowych kanalow :-) Wtedy owszem mala rura potrafila sie zatkac, a olewactwo tepsowego arbuza siegalo zenitu i nic nie dalo sie zrobic... Stare dzieje, ale to tylko potwierdza fakt, ze robienie hostingu ma sens tylko jezeli jestes duzym operatorem, albo jestes pod jego skrzydlami (czyt. chroni Cie duza rura i jej admini

pozdr.

[szirok 0]

Tzn. jakie ataki ?

Stare dzieje, ale to tylko potwierdza fakt, ze robienie hostingu ma sens tylko jezeli jestes duzym operatorem, albo jestes pod jego skrzydlami (czyt. chroni Cie duza rura i jej admini

pozdr.

jesli chroni Cie "duza rura" ale Ty wpiety jestes przeciez jakas dedykowana przepustowoscia nieduza w stosunku do mozliwosci "duzej rury" operatora to i tak przytka Ci sie przeciez Twoje dedykowane waskie pasmo prawda? ( bo niby czemu centrum danych ma Ci dawac rure na czas ataku rzedu kilkuset mbps, skoro nie na taka wartosc masz podpisana umowe? Do tego co moze admin "duzej rury" zrobic jak sa ataki po kilkaset mbps tudziez nawet w okolicach 1gbps i wiecej?

[hyhyhy 0]

jesli chroni Cie "duza rura" ale Ty wpiety jestes przeciez jakas dedykowana przepustowoscia nieduza w stosunku do mozliwosci "duzej rury" operatora to i tak przytka Ci sie przeciez Twoje dedykowane waskie pasmo prawda? ( bo niby czemu centrum danych ma Ci dawac rure na czas ataku rzedu kilkuset mbps, skoro nie na taka wartosc masz podpisana umowe? Do tego co moze admin "duzej rury" zrobic jak sa ataki po kilkaset mbps tudziez nawet w okolicach 1gbps i wiecej?

Zazwyczaj poprostu odcinają IP... podczas ataku ddos... Teraz mecz, więc na post Adama odpowiem po wygranej Francji ;-) Pozdr.

[Jor.pl 0]

Nie odnotowalismy zadnego udanego DoSa gdzies od 2002r.

 

O "udanego" DDosa nie jest trudno, jeżeli ktos atakuje z głową.

Jeżeli taki tlen.p jakieś 2 tygodnie temu,l nie potrafił sie przez 4 godziny obronić, to co dopiero, firma/osoba, z mniejszym zapleczem technicznym...

[Gość adamszendzielorz]

O "udanego" DDosa nie jest trudno, jeżeli ktos atakuje z głową.

Jeżeli taki tlen.p jakieś 2 tygodnie temu,l nie potrafił sie przez 4 godziny obronić, to co dopiero, firma/osoba, z mniejszym zapleczem technicznym...

 

Ale interia ma tez zdecydowanie wieksza ilosc swoich wrogow, a co za tym szanse na DoS...

[szirok 0]

Adam to w koncu Admin tej "duzej rury" moze cos zrobic czy tylko ip wyciac ? Czy takie profesionalne data center typu gts moze zrobic cos?(co miesci sie w koszcie utrzymania kazdego klienta?)

[Gość adamszendzielorz]

Adam to w koncu Admin tej "duzej rury" moze cos zrobic czy tylko ip wyciac ? Czy takie profesionalne data center typu gts moze zrobic cos?(co miesci sie w koszcie utrzymania kazdego klienta?)

 

Oczywiscie ze moze, a nawet musi, przeciez im to szkielet obciaza wiec robia wszystko zeby go odciazyc (czyt. wycinaja DoSujace IPki - oczywiscie nie recznie, maja do tego sprzet - jaki ? Nie wiem, wiem ze przynajmniej raz u mnie zadzialali dosc skutecznie

pozdr.

[patryk 451]

maja do tego sprzet - jaki ? Nie wiem, wiem ze przynajmniej raz u mnie zadzialali dosc skutecznie

 

Np. taki

 

http://www.cisco.com/en/US/products/ps5888...cd800fa55e.html

[szirok 0]

Oczywiscie ze moze, a nawet musi, przeciez im to szkielet obciaza wiec robia wszystko zeby go odciazyc (czyt. wycinaja DoSujace IPki - oczywiscie nie recznie, maja do tego sprzet - jaki ? Nie wiem, wiem ze przynajmniej raz u mnie zadzialali dosc skutecznie

pozdr.

hmm jak atak jest z wielu ip`kow i roznych klas to domniemam, ze ciezko to wyciac?

[Gość adamszendzielorz]

hmm jak atak jest z wielu ip`kow i roznych klas to domniemam, ze ciezko to wyciac?

 

Nie wiem, musze przyznac ze od prawie 3 lat jestem troche w plecy jezeli chodzi o sprzet sieciowy, dba o to ktos inny Ale biorac pod uwage czas reakcji (praktycznie natychmiastowy) po wspomnianym przeze mnie DoSie -> raczej nie jest to takie ciezkie

pozdr.

[p 3]

Przed porzadnym DDoSem sie nie obronia. Jak pokazuje historia, nawet firmy specjalizujace sie w walce z DDoSem (takie jak Akamai czy Prolexic) podczas porzadnego ataku sa bezsilne, wiec tym bardziej taki GTS sobie nie poradzi

 

Swoja droga, orientuje sie ktos na jakiej zasadzie Cisco Guard wykrywa ataki?

[Gość adamszendzielorz]

Przed porzadnym DDoSem sie nie obronia. Jak pokazuje historia, nawet firmy specjalizujace sie w walce z DDoSem (takie jak Akamai czy Prolexic) podczas porzadnego ataku sa bezsilne, wiec tym bardziej taki GTS sobie nie poradzi

 

To jasne, ale porzadne DDoSy nie zdarzaja sie przypadkowo i czesto

pozdr.

[hyhyhy 0]

Swoja droga, orientuje sie ktos na jakiej zasadzie Cisco Guard wykrywa ataki?

Cisco guard skanuje ciągle ruch poszukując nietypowych schematów, które sygnalizowałyby możliwość ddosa. Ruch podejrzany kierowany jest do modułu, który przeprowadza dodatkową analize, poczym usówa szkodliwy ruch i dalej 'czysty' ruch kierowany jest do hosta docelowego :-) Można sobie samemu go skonfigurować bądź korzystać z gotowych rozwiązań ekipy cisco. Pozdr.

[p 3]

Cisco guard skanuje ciągle ruch poszukując nietypowych schematów, które sygnalizowałyby możliwość ddosa. Ruch podejrzany kierowany jest do modułu, który przeprowadza dodatkową analize, poczym usówa szkodliwy ruch i dalej 'czysty' ruch kierowany jest do hosta docelowego :-) Można sobie samemu go skonfigurować bądź korzystać z gotowych rozwiązań ekipy cisco. Pozdr.

Hmm... W takim razie co sie dzieje ze zmasowanymi atakami symulujacymi legalny ruch? Np. proby wyslania poczty, przegladanie www, zapytania DNS, itp? Rozumiem, ze ruch taki jest przepuszczany (a razem z nim caly atak)?

[tymczasowy 0]

Np. taki B)

 

http://www.cisco.com/en/US/products/ps5888...cd800fa55e.html

 

phi, 67k USD (~ 210k PLN). Jutro zmawiam 2 sztuki - może jeszcze ktoś reflektuje?

 

--

pozdrawiam