Статьи Bulletproof ремесло

Discussion in 'Статьи' started by gibson, 16 Jan 2008.

  1. gibson

    gibson Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    391
    Likes Received:
    247
    Reputations:
    88
    Все наверно слышали про так называемый bulletproof хостинг, или как его еще называют
    абузоустойчивый хостинг, и некоторые наверняка задались вопросом, а как же его обеспечивают?
    Сегодня попытаемся посмотреть основные способы организации подобных сервисов, не ограничиваясь
    подкупом кучи легальных компаний.

    Способ 1. Купить всех и вся

    Самый дорогой и не слишком надежный вариант. Потребуется купить абузный домен - тобишь
    договорится с людьми занимающимися доменами, чтоб на определенный домен закрывали глаза. Помимо домена нужен еще и сервер, опять же требуется договорится с админами чтобы и они притворились шлангом и не убирали аккаунт с сервера. Тут же приветствуются экзотические решения типа "сервер в подвале в Африке". Тот же доблестный отдел К думаю врятли поедет на прогулку в Африку искать тот самый подвал.
    Ненадежность сего следующая, админ например вдруг вспомнит что ему на пиво не хватает и за N
    количество денег уже не хочет закрывать глаза на домен или на сервер, и потребует N+X денег, что
    не есть хорошо. Также может все-таки приехать отдел К и дать по мордасам всем.

    Способ 2. Хостинг на ботах

    Некоторые слышали наверно эту забавную фразу, но всеже не слишком понятно как это сделано.
    Основная причина использования таких наворотов - сокращение риска остатся без сервера, ну и естественно меньше платить людям за ничего не делание. Помимо этого к делу абузоустойчивости подключается и техническая часть, а не только человеческая.
    Предположим, что в нашем распоряжении имеется штук этак 100 ботов, все на каком-нибудь лан\адсл
    с хорошей скоростью. Так вот почему бы не использовать их и не захостить какой-нибудь жутко
    нелегальный сайт.

    Первая мысль - регистрируем домен по способу 1, договариваемся с днс хостером на предемет
    игнора абузов, прописываем в днс домена ип адреса некоторых ботов, на каждом боте делаем мини хттп
    сервер, который и будет спокойно выдавать запрашиваемые страницы. Проблемы очевидны сразу: нужно написать в боте нормальный сервер, а также невозможность хостить страницы на пхп. Про то что заливать сайт нужно на каждого бота вообще молчу. Первая мысль следовательно черезвычайно неверна.

    Вторая мысль - домен\днс все также, на боте пишем простенький редирект тсп соединений, который будет с бота перебрасывать коннект на некий сервер. Требований к этому серверу практически никаких - можно использовать и обычный хостинг, главное чтобы хостер не спалил инфу находящуюся на этом сервере.
    Результат таких манипуляций - платим только за домен и днс сервак, имеем некий барьер перед главным сервером. Есть риск спалится хостером. Практически хорошо, но все равно далеко от идеала.

    Третья мысль - регистрируем домен так чтобы его не анрегнули. На ботах пишем юдп и тсп редиректы. Юдп редирект необходим для редиректа dns запросов, тсп для хттп. В ns домена прописываем ип
    некоторых ботов, которые с самым большим аптаймом. Ставим сервак для днс, и можно его же и под хттп.
    Результат - платим только за домен, между реальным днс\хттп сервером(ами) прослойка из ботов. Уже весьма хорошо. Чтобы уронить такую систему нужно поймать бота, узнать настоящий сервер, на который идет весь траффик и уже на него жаловатся. А так, жаловатся на кучу ботов практически бессмысленно.
    Затраты на это все практически минимальны.
    Так как на словах воспринимается сложно нарисуем окончательную картинку хорошего абуза.

    ---------- dns --------- ---------------
    клиент -------> бот 1 ------> dns сервер (выдает список ип ботов 3-N)
    ---------- \ --------- / ---------------
    \ \ --------- /
    \ ---> бот 2 -- (бот 1,2 прописаны как ns сервера в домене)
    \ ---------
    \ http --------- ---------------
    -----------> бот 3 ------> http сервер
    \ --------- / ---------------
    \ ... /
    \ --------- /
    --> бот N --
    ---------​

    Разумеется можно еще более усилить все, например захостить dns прямо на ботах. Или пропускатьтраффик через несколько ботов. Разумеется нужно предусмотреть, чтобы боты имели хороший канал, и не за натом. Также постоянно отсеивать неживучих ботов.
    Помимо этого нужно сделать ротацию ип адресов, как ns так и a записей домена, без неё могут прикрытьсервис.
    Для организации сервиса абузоустойчивого хостинга, придется еще в ботах сделать и поддержку
    многосерверности, ведь не все же сайты хостить на каком-нить серваке. Для некоторых нужен
    отдельный дедик как минимум, а не с кем то еще тусить.

    Статья взята с indetails.info автор NeoN Дата статьи: 30-11-2007
     
    #1 gibson, 16 Jan 2008
(You must log in or sign up to post here.)