É pessoal, a Digital Ocean já foi melhor. Digo isso porque tomamos dois ataques de 40Mb/s seguidos (HTTP Get Flood), e a querida DO simplesmente bloqueou o acesso ao blog.

Vejam no gráfico abaixo:

Screen Shot 2014-03-14 at 5.57.03 PM

Vejam uma correção sobre esta imagem nos comentários no final deste post.

Acessando e fuçando alguns sites e blogs, descobri que a DO simplesmente bloqueia os droplets, máquinas virtuais que rodam em seu ambiente, logo que é detectado um “ataque”.

Acontece que eu fiz um teste de carga e descobri que qualquer carga acima de 40Mb/s direcionado a um droplet é considerado um ataque pela DO. Mas convenhamos que 40Mb/s de acesso continuo a um site é coisa para caramba, dignos de uma globo.com ou r7, mas não para um coruja de ti ou blog brasileiro famoso, ex. Não Salvo.

O jeito foi contratar o serviço da CloudFlare (básico, por enquanto), empresa especializada em prover soluções contra ataques Layer7/Layer4 e 3, além de prover um WAF (web application firewall).

Uma coisa boa foi que o tuning/hardening feito no blog surtiu efeito. Afirmo isso, pois antes, com um ataque deste tamanho, o load da máquina passava dos 200. Hoje, o load da máquina não passou de 3.86. Lembrando que o server que suporta o blog possui 4 cores. 🙂

Vejam no gráfico abaixo:

Screen Shot 2014-03-14 at 5.17.36 PM

Diversos dos parâmetros utilizados para hardening e tuning deste blog já foram divulgados em uma série de posts, já os outros serão apresentados no curso Varnish+Nginx+Apache

Dois pontos importantes: Não vale a pena, falando financeiramente, colocar um blog destes na infra da amazon. O preço que pagaria quanto ao tráfego de rede seria gigantesco.

Segundo e último, serviços como os oferecidos pela CloudFlare são mais do que essenciais no dia de hoje.

P.S.: Agora, eu tenho uma dúvida – o que adianta vc ter um servidor barato e provido na nuvem, se o provedor que o oferece e suporta não possui banda suficiente para aguentar um ataque de 40Mb/s ?

 

Atualização: Acabei de ver a atualização dos gráficos da Digital Ocean, e me deparei com os seguintes dados:

Screen Shot 2014-03-15 at 2.25.54 AM

Na verdade, foram ataques de mais de 70 Mb/s. Por isso que a Digital Ocean bloqueou..

Mesmo com ataques com toda essa largura de banda, o consumo de cpu e memória ficaram em padrões normais. Mas é claro que os logs do servidores aumentaram de forma astronômica, isso porque foram centenas de milhares de ips tentando acessar o blog ao mesmo tempo. Vejam só:

Screen Shot 2014-03-15 at 2.29.55 AM

Outro ponto importante é que ainda não há evidências que o serviço anti-DDoS da CloudFlare entrou em ação, isso porque não encontrei nenhum aumento de banda agressivo no dashboard deles. Vamos aguarda neste final de semana.

Atualização 17/02/2014 – depois de recebido alguns comentários quanto a velocidade de incoming http que a minha cloud/vps,droplet, da DO suportou, resolvi gerar outros gráficos, via ferramenta da própria DO, tendo o objetivo de aferir se aquela informação, a de quase 400MB/s, como todos viram na imagem, era verdadeira.

Vejam por si só no gráfico gerado de um período de 30 dias decrescente, começando hoje, dia 17/03/2014:

Screen Shot 2014-03-17 at 12.50.34 AM

Já puderam perceber que estou ferrado, pois a cada momento que gero um dos gráficos, a DO apresenta um valor diferente para a data e momento exato que o blog recebeu o ataque de HTTP Get flood.

P.S.: Já solicitei ajuda a DO quanto ao entendimento de qual gráfica está certo e qual está errado.

Compartilhar:

Este post tem 19 comentários

  1. Você conhece a Hetzner? Acredito que possa ser uma boa opção para o seu blog. A nossa empresa tem alguns servidores lá há dois anos, sem qualquer incidente. São servidores dedicados com excelente estrutura.

    http://hetzner.de/en

  2. Rapaz, o primeiro gráfico mostra que o ataque foi de 387.51Mbs(inbound), e não 40Mbs. Ou seja, foi um ataque “respeitável”.

  3. Os gráficos estão com problemas. Eu já até pedi ajuda a DO para atender o que passa..

  4. É a primeira vez que vejo o serviço desta empresa. Os valores apresentados são interessantes, mas resta saber se o serviço é confiável.

  5. Já li alguns artigos sobre esta empresa e todos com boas recomendações. Parece ser bem interessante. Acho que assinarei um serviço deles por um período de um mês, só para testar.. Obrigado pela dica.

  6. OVH, tem dedicados muitos bons, com preços bem acessíveis e uma qualidade respeitável. kimsufi.com é uma empresa do grupo, de uma olhada. Muito melhor q sofrer com essas nuvens com overselling.

  7. Olha, nada contra a cloudfare, mas tem alguns estudos no mercado apontando que o serviço dele já não é tão bom e que o incapsula da imperva está com um melhor custo benefício

    []’s

  8. Lucas, ei de concordar com vc, e por dois motivos:

    Também li alguns dos estudos que vc citou, e fato, o Incapsula ganha do CLoudFlare. Lembrando que ela, a incapsula, foi adquirida há poucas semanas pela Imperva.
    Não pude ver a eficácia de seu serviço quanto ao bloqueio de ataques junto ao blog, já que não sofri nenhum ataque até o momento.

  9. Gustavo, a ferramenta anti DDoS do Cloudflare tem que ser acionada via painel de controle, sessão security, “I’m under attack”. Ele incluirá um delay de 5 segundos em qualquer requisição ao site.

  10. Folley, vc se refere a opção advanced security, serviço que vem incluso nos planos business ou enterprise, correto ?

  11. Correto.

  12. Uma observação: Eu só posso dizer pelo plano business. Não sei se o enterprise seria desta forma, acredito que pelo preço seria mais pró-ativo, mas é um chute.

  13. olá, vi sua postagem sobre o Digital Ocean, sou novo não entendo muito contratei um pacote ja esta configurado e funcionando, porem ficou uma duvida como acompanho o quanto ja utilizei do espaço de armazenamento e banda, tem uns graficos no painel porem não mostra o quanto utilizei de armazenamento e banda, poderia me ajudar com esta questão?

  14. Jeferson, mesmo problema que passei, e veja, não confio em colocar um servidor que tenha necessidade de trafegar muitos dados junto a digital ocean, pois eu já tive uma série de problemas, como por exemplar o shutdown dele..

  15. Tô pensando em migrar pra DO pra ver como anda seu serviço atual.

Deixe uma resposta

Fechar Menu