Digital Ocean não aguenta o tranco, mas o blog aguentou.. hehe

Tags: , , , , , , ,

É pessoal, a Digital Ocean já foi melhor. Digo isso porque tomamos dois ataques de 40Mb/s seguidos (HTTP Get Flood), e a querida DO simplesmente bloqueou o acesso ao blog.

Vejam no gráfico abaixo:

Screen Shot 2014-03-14 at 5.57.03 PM

Vejam uma correção sobre esta imagem nos comentários no final deste post.

Acessando e fuçando alguns sites e blogs, descobri que a DO simplesmente bloqueia os droplets, máquinas virtuais que rodam em seu ambiente, logo que é detectado um “ataque”.

Acontece que eu fiz um teste de carga e descobri que qualquer carga acima de 40Mb/s direcionado a um droplet é considerado um ataque pela DO. Mas convenhamos que 40Mb/s de acesso continuo a um site é coisa para caramba, dignos de uma globo.com ou r7, mas não para um coruja de ti ou blog brasileiro famoso, ex. Não Salvo.

O jeito foi contratar o serviço da CloudFlare (básico, por enquanto), empresa especializada em prover soluções contra ataques Layer7/Layer4 e 3, além de prover um WAF (web application firewall).

Uma coisa boa foi que o tuning/hardening feito no blog surtiu efeito. Afirmo isso, pois antes, com um ataque deste tamanho, o load da máquina passava dos 200. Hoje, o load da máquina não passou de 3.86. Lembrando que o server que suporta o blog possui 4 cores. 🙂

Vejam no gráfico abaixo:

Screen Shot 2014-03-14 at 5.17.36 PM

Diversos dos parâmetros utilizados para hardening e tuning deste blog já foram divulgados em uma série de posts, já os outros serão apresentados no curso Varnish+Nginx+Apache

Dois pontos importantes: Não vale a pena, falando financeiramente, colocar um blog destes na infra da amazon. O preço que pagaria quanto ao tráfego de rede seria gigantesco.

Segundo e último, serviços como os oferecidos pela CloudFlare são mais do que essenciais no dia de hoje.

P.S.: Agora, eu tenho uma dúvida – o que adianta vc ter um servidor barato e provido na nuvem, se o provedor que o oferece e suporta não possui banda suficiente para aguentar um ataque de 40Mb/s ?

 

Atualização: Acabei de ver a atualização dos gráficos da Digital Ocean, e me deparei com os seguintes dados:

Screen Shot 2014-03-15 at 2.25.54 AM

Na verdade, foram ataques de mais de 70 Mb/s. Por isso que a Digital Ocean bloqueou..

Mesmo com ataques com toda essa largura de banda, o consumo de cpu e memória ficaram em padrões normais. Mas é claro que os logs do servidores aumentaram de forma astronômica, isso porque foram centenas de milhares de ips tentando acessar o blog ao mesmo tempo. Vejam só:

Screen Shot 2014-03-15 at 2.29.55 AM

Outro ponto importante é que ainda não há evidências que o serviço anti-DDoS da CloudFlare entrou em ação, isso porque não encontrei nenhum aumento de banda agressivo no dashboard deles. Vamos aguarda neste final de semana.

Atualização 17/02/2014 – depois de recebido alguns comentários quanto a velocidade de incoming http que a minha cloud/vps,droplet, da DO suportou, resolvi gerar outros gráficos, via ferramenta da própria DO, tendo o objetivo de aferir se aquela informação, a de quase 400MB/s, como todos viram na imagem, era verdadeira.

Vejam por si só no gráfico gerado de um período de 30 dias decrescente, começando hoje, dia 17/03/2014:

Screen Shot 2014-03-17 at 12.50.34 AM

Já puderam perceber que estou ferrado, pois a cada momento que gero um dos gráficos, a DO apresenta um valor diferente para a data e momento exato que o blog recebeu o ataque de HTTP Get flood.

P.S.: Já solicitei ajuda a DO quanto ao entendimento de qual gráfica está certo e qual está errado.

VEJA TAMBÉM

E-commerce no Brasil dá dinheiro ? Foi divulgado recentemente que o e-commerce no Brasil faturou bilhões de reais neste ano de 2010 (R$ 15 bilhões) e a previsão é a de que essa cifra seja superada já no terceiro semestre de 2011. C...
Conferência O Outro Lado (Co0L): Excelente. Acabei de voltar da Conferência O Outro Lado (Co0L), realizada pelo pessoal do Garoa Hacker. O evento teve um púbico de um pouco mais de 150 pessoas, muitas conhecidas do mercado de TI e outras curios...
Há mais máquinas virtuais nos datacenters do que máquinas físicas ? Logo quando as tecnologias para virtualização de arquiteturas X86 e X86_64 surgiram, vários profissionais da área de TI, falando especificamente da área de suporte, não acreditavam que esta tecnologia...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

19 comentários em “Digital Ocean não aguenta o tranco, mas o blog aguentou.. hehe

  1. Sergio J

    Rapaz, o primeiro gráfico mostra que o ataque foi de 387.51Mbs(inbound), e não 40Mbs. Ou seja, foi um ataque “respeitável”.

  2. Gustavo Lima

    É a primeira vez que vejo o serviço desta empresa. Os valores apresentados são interessantes, mas resta saber se o serviço é confiável.

  3. Gustavo Lima

    Já li alguns artigos sobre esta empresa e todos com boas recomendações. Parece ser bem interessante. Acho que assinarei um serviço deles por um período de um mês, só para testar.. Obrigado pela dica.

  4. Felipe

    OVH, tem dedicados muitos bons, com preços bem acessíveis e uma qualidade respeitável. kimsufi.com é uma empresa do grupo, de uma olhada. Muito melhor q sofrer com essas nuvens com overselling.

  5. Lucas

    Olha, nada contra a cloudfare, mas tem alguns estudos no mercado apontando que o serviço dele já não é tão bom e que o incapsula da imperva está com um melhor custo benefício

    []’s

  6. Gustavo Lima

    Lucas, ei de concordar com vc, e por dois motivos:

    Também li alguns dos estudos que vc citou, e fato, o Incapsula ganha do CLoudFlare. Lembrando que ela, a incapsula, foi adquirida há poucas semanas pela Imperva.
    Não pude ver a eficácia de seu serviço quanto ao bloqueio de ataques junto ao blog, já que não sofri nenhum ataque até o momento.

  7. Folley

    Gustavo, a ferramenta anti DDoS do Cloudflare tem que ser acionada via painel de controle, sessão security, “I’m under attack”. Ele incluirá um delay de 5 segundos em qualquer requisição ao site.

  8. Folley

    Uma observação: Eu só posso dizer pelo plano business. Não sei se o enterprise seria desta forma, acredito que pelo preço seria mais pró-ativo, mas é um chute.

  9. jeferson

    olá, vi sua postagem sobre o Digital Ocean, sou novo não entendo muito contratei um pacote ja esta configurado e funcionando, porem ficou uma duvida como acompanho o quanto ja utilizei do espaço de armazenamento e banda, tem uns graficos no painel porem não mostra o quanto utilizei de armazenamento e banda, poderia me ajudar com esta questão?

  10. Gustavo Lima

    Jeferson, mesmo problema que passei, e veja, não confio em colocar um servidor que tenha necessidade de trafegar muitos dados junto a digital ocean, pois eu já tive uma série de problemas, como por exemplar o shutdown dele..

DEIXAR UM COMENTÁRIO

MENU