[+] (17.08.2009) добавлена возможность указывать в списке заблокированных IP адресов маски (например, 192.168.?0.*) и целые диапазоны адресов (например, 213.130.24.149-213.130.28.255);

Возможно имеет смысл ввести "переключалку" типа инверсии. Т.е. только указанные адреса и диапазоны разрешены, все остальные запрещены.
Проводилось ли исследование, как ведёт себя сервер при ДОСе, и при других намеренных его атаках?

[Алексей Пикуров]

Что-то подобное есть. Выглядит так:

server_ipfilters.jpg

Если в списке "Список разрешённых IP адресов" есть хоть один адрес/маска/диапазон - то при подключении клиента сервер сначала смотрит, подходит ли IP к этому списку, и если да, то проверяет уже адрес по "Списку заблокированных адресов".

Если же нижний список пуст - то проверка идёт только по верхнему списку блокировок - и всё.

По поводу DDOS атак пока могу сказать следующее: проводились тесты по блокировке и отключению "левых" сетевых приложений, например, Miranda, ICQ, QIP, различных IRC клиентов, просто Telnet сессий и прочих.

Если на сервер будет производиться массированная атака, скорее всего, он "ляжет", так как отражение атак подобного рода - задача специализированных фильтров, а не серверов.

В принципе, несложно реализовать автоматическую блокировку "назойливых" подключений с различных IP, но проблему DDOS это не снимает, а только лишь ненамного снизит нагрузку на сервер. А процент ошибочных блокировок будет высок - поэтому данную систему и не внедряем.

Специализированных тестов на DDOS пока не проводилось, быть может, сделаем. О результатах отпишемся в этой теме.

У вас нет необходимых прав для просмотра вложений в этом сообщении.

Team lead
Чат со мной

[Алексей Пикуров]

P.S. Вы можете скачать бета-версию сервера в разделе для клиентов и "пощупать" её.

Team lead
Чат со мной

Ок, спасибо за ответ, времени на "пощупывание" нету, если получится, отпишусь о результатах.