Nebula123 schrieb:
Dass die wieder zurück sind fand ich jetzt nicht so toll. Als die noch die NiMH-Akkus als Cache Battery hatten sind die reihenweise kaputt gegangen.
Wenn so ne Batterie nach x Jahren mal den Geist aufgibt ist das imho noch verkraftbar.
Was mich stört ist eher, dass
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss
b) die irgendwelche Special-Formate haben müssen. Wenn man die HP BBUs als Beispiel nimmt: Da könnte man auch 4x AAA Zellen reinbauen.
Man könnte ganz einfach an der Stelle an der die BBU befestigt wird nen kleinen Schacht/Träger mit 4x AAA Akkus anbringen, den man von der Rückseite im Betrieb wechseln könnte.
Aber nein, wenn man da normale Akkus reinpacken könnte, dann könnte HP ja nicht abzocken, die würde man sich ja für nen Zehner als 4er Pack Eneloop kaufen.
izzy_01 schrieb:
so gut wie jeder hosting anbieter (dedicaded) hat heutzutage ein "DDOS-Shiled" davor.
Korrekt wäre die Formulierung: so gut wie jeder Billiganbieter gibt heutzutage auf seiner Website an eine ddos-Lösung (natürlich im Preis inbegriffen, während man für das Equipment dazu bei Riorey/nsfocus/Arbor 100k bis ne halbe Million zahlt) zu haben.
Genauso wie jeder no so mikrige Anbieter laut seiner Seite 20 Rechenzentren mit tausenden GBit Kapazität betreibt.
Und am Ende des Jahres kommt der Weihnachtsmann und VW hält flottenübergreifend die erlaubten Stickoxid-Werte ein.
Was glaubst du denn was dein Anbieter macht wenn dein 50 Euro pro Monat dedicated Server mal ne Woche lang mit 10GBit angegriffen wird?
Vielleicht guckst du mal in die AGB deines Anbieters rein.
Da wird vermutlich nicht drinstehen, dass die ein Filterergebnis bei Angriffen garantieren.
Da werden eher so Passagen stehen, die besagen, dass man Dich fristlos ausschalten kann wenn du die Stabilität des Netzes gefährdest (worunter dann auch fällt wenn du Ziel eines Angriffs bist).
Wenn ein DDOS angriff auf einen deinen server laufen sollte, dann nimmt das bis zu einen gewissen wert schon der provider mit seinen schutz weg (je nach provider unterschiedlich, bzw was du dafür zahlst)
Sofern es sich nicht um total subtile Angriffe (dns/ntp/ssdp reflection und ähnliches) handelt und du genug Sources hast, kommst du schnell an den Punkt an dem dir dein ddos-Schild nichts mehr nützt.
Die ganzen ddos-Filter machen kein connection-tracking (weil die in der Regel nur den incoming Traffic oder gar nur irgendwelche flows bekommen, von der notwenidgen Rechenleistung mal ganz abgesehen) und können nur schätzen was gut und was böse ist.
Wenn da einfach mit Random source generiereter tcp-Traffic mit Zielport 443 und normalen ttl reintrudelt ist Schicht im Schacht.
Abgesehen davon dauert es eine gewisse Zeit bis Angriffe überhaupt erkannt werden.
Das beste was ich gesehen habe waren ca. 30 Sekunden zwischen (simuliertem) Angriff (einfachst möglicher udp Flood) und "Traffic wird gefiltert".
In der Zeit hast du locker rausgefunden ob etwas über 1 GBit reicht oder du 10 brauchst.
meine dedicaded kisten haben alle einen ddos schutz vom anbieter am laufen. Wobei ich diese, gott sei dank, noch niemals gebraucht habe.
Oder anders formuliert: du hast keine Ahnung was denn passiert wenn du mal angegriffen wirst.
Vermutlich rechnen die nach Zeitpunkt xy einfach kurz nach, dass sich die 100 Euro Marge, die die mit dir machen den Ärger nicht wert sind und raus ist die Kündigung.
@Piktogramm: nmap testet per default afair nur die low ports.
Mann kann mit iptables aber dynamisch rules bauen.
Beispiel:
ssh liegt auf Port 5000
Rule 1 matched auf die Ports 4900 bis 4999 und legt ne reject-rule für port 5000 an sobald da ein Paket eintrudelt.
Dann siehst du Port 5000 auch nicht (außer du fängst von hinten an)