Názor k článku DDoS útok na servery Internet Info: pohled administrátora od Ondřej Surý - Psal jsem to Danovi do mailu, tak ještě...

Psal jsem to Danovi do mailu, tak ještě sem:

a) Obecně máme zkušenost, že kromě samotného jádra také záleží na výrobci, typu a ovladači síťové karty. Rozdíl mezi výkonem Broadcom[-] a Intel[+] karet je obrovský. V DNS benchmarcích, které děláme pro Knota už ani benchmarky na Broadcomech neděláme. Taky záleží na chipsetu konkrétní karty - např. kolik má front, rozdíl mezi desktop a server kartama, atp.

Slyšel jsem také dobré reference na Mellanox, ale neměl jsem možnost vyzkoušet.

b) Zase obecně bych před server ještě strčil Varnish, na backend pak nginx+php-fpm. Obojí je pak potřeba aspoň trochu potunit.

c) Na vypnutí syncookies ani nemyslete :). Se syncookies Vás pak spíš zahltí objemem dat, protože toho ten server ustojí opravdu dost.

d) Loadbalancing se dá dělat na více vrstvách než L7 - pokud nestíhá L7 balancer, tak přidat další a rozhazovat to na L3 (buď tupě 1:1 nebo to trochu ladit podle zátěže). Konkrétní řešení neznám, ale tuším, že to v iptables půjde udělat.

O.