Vlákno názorů k článku Hokejový přenos čtvrtfinále opět vypadával. Může za to prý DDoS útok od Dash - Tu cenovou politiku já neznám, ale tipl bych,...
-
Dash (neregistrovaný)
Tu cenovou politiku já neznám, ale tipl bych, že pronájem infrastruktury jen na těch cca 4–5 nejvytíženějších zápasů by cenově mohlo být zajímavé. Aspoň vzhledem k úspoře nákladů po zbytek roku, kdy by provoz ČT zvládlo vlastními silami bez nějaké zbytečně předimenzované základny.
A úzké hrdlo opravdu není po cestě – když se pomalu nenačte ani web ČT a streamu vypadává zvukový kanál.
-
Naopak, poskladat ten system po desetigigabitech umoznuje moc hezky izolovat pripadne problemy :-)
Napriklad kdyz mate node, ktery obsluhuje jen zakazniky ISP XY, muzete klidne zakazat veskerou komunikaci vne toho ISPcka (a to nemluvim o tom, ze pak muzete pracovat i s anycastem, takze Vas to nestoji zadny traffic na zarizenich, ktere filtruji provoz).
-
Tomáš2 (neregistrovaný)
tak nix je jediné, co je veřejné a pokud při posledním zápase O2 v tiskovce napsali, že tok byl 220Gbit/s a v nixu byl vidět nárust 130, očividně toho více jak polovinu odbavuje.
Ale ano, bez dalších informací nejsme schopni se nikam dopracovat a můžeme jen odhadovat.
Pokud byl k útoku použit nějaký koupený botnet, což je nejdostupnější k pronájmu, mohl být útok vedený i zevnitř a to mohlo naprosto obejít ochrany, které si O2 připravilo nebo aspoň odstínění výrazně zkomplikovalo.
-
Asi si nerozumíme. Já jsem nezpochybňoval distribuované řešení, ale distribuované řešení postavené na velkém množství poddimenzovaných komponent. Root DNS servery jsou slušné stroje se slušnou konektivitou, není to milion RPi, které s vypětím všech sil vyřídí jeden dotaz. Řešení postavené na „šrotu“ používá třeba Google, ale ten to má všechno unifikované a automatizované, takže výpadek uzlu řeší automaticky. Takového způsobu řešení nedocílíte, když na pár dní poskládáte kapacitu po troškách od spousty operátorů. Protože pak DDoS postihne každého operátora jiným způsobem a s každým to budete muset řešit zvlášť a jinak.
-
V tomto případě nejde o stroje, ale o tu konektivitu.
Nehlede na to, ze pro vetsinu poskytovatelu v CR je 10 Gb/s vic, nez zvladnou zaplnit ...
Jinými slovy, u většiny poskytovatelů budete mít zbytečnou velkou rezervu, takže celková instalace bude třeba 250 % toho, co by bylo potřeba. Což bude také odpovídajícím způsobem dražší. Navíc při tom řešení „server pouze pro danou síť“ bude ta rezerva nepoužitelná z jiných sítí, a výpadek v jedné síti bude znamenat nedostupnost pro všechny její uživatele. A na internetu pak budeme číst „opět vypadával“ a v diskusích „mně to fungovalo bez problémů, mně to nefungovalo vůbec“. Mám pocit, že tohle už jsem někde četl.A prave to, ze mate system automatizovany, Vam umozni udelat rychly deployment.
Není mi moc jasné, jak by se automatizovaně řešila konektivita s desítkami poskytovatelů tak, aby reakce byla v řádu jednotek sekund, takže na ten jeden pársekundový výpadek uživatel zapomene. -
Pokud Vam neni jasne, jak byste resil presmerovani v radu sekund, pak doporucuji ke studiu zpusob dorucovani dat pres HLS pripadne kombinovane s anycastem (a ano, DNS neni dostatecne flexibilni).
BTW reseni "server pro danou sit" nebylo v dostatecne skale (tj. desetigigabitovy node ve vetsich sitich) v CR nikdy nasazeno. Duvod je jenom jeden - financni.
Jinymi slovy - problem "vypadky" byl v nekterych pripadech financni. Pokud by nekdo nasypal u predchoziho poskytovatele tolik penez do infrastruktury, kolik jich nasypala O2, tak by nasmlouvana kapacita byla s velkym overheadem - radove stovky procent.
O2 bohuzel nema moc samci dat svoje "cache" servery do siti jinych operatoru - je jejich primym konkurentem.
-
fk (neregistrovaný)
No, ono je otazkou, co takovy cloud v cechach znamena. Ono neni zrovna levna zalezitost koupit si 250Gb/s treba u Akamai, AWS apod. (mimochodem, Netflix z tohoto duvodu odesel na vlastni). Navic by to stejne slo nekde pres peering z nekolika vybranych AS a datacenter (nevim, ze by u operatoru byly nejake hromadne cache servery). A budovat vlastni cloud pro jistotu? To by asi CT nezaplatila.
-
Tomáš2 (neregistrovaný)
podle čísel v nixu ten hokejový zápas potřebuje nějakých 130Gbit/s, skládat bych to opravdu nechtěl, kromě Seznamu nikdo jiný takovou kapacitu nemá.
s DDoS je problém, že nemusí být útok na přetížení linky a nemusí to jít poznat z grafů peeringu, což je nejspíš i tenhle případ.
Asi jsem naivní, ale nevěřím, že O2 si DDoS vymýšlí, ano běžně se na něj vymlouvají malé eshopy, které naprosto nemají žádné technické znalosti, natož technologie, aplikace jim jeden na jednom serveru a nic jiného nemají.
