Как вриант, можете сравнить еще с TippingPoint от 3com. Говорят такие железки уже ставили в России, но решение от Циски куда более гибкое (а притом что Guard и Anomaly Detector бывают в виде стандартных модулей к шеститоннику, то еще и значительно _дешевле_).
Пригласите кого-то из Циски пускай вам расскажут о Guard и Anomaly Detector (я без сорказма)
В свое время я курировал тендер на защиту сетей одного крупного российского провайдера, много чего предлагали, рассказывали. Решили заморачиваться тендером после DDoS (на пике 600 Мегабит чистого флада, те самые фрагментированые ICMP пакеты, SYN-флад), сервера хостинга сдуло моментом (подключены по 100Мб), умудрились положить и MPLS сеть. На виртуальном хостинге около 2000 комерческих сайтов - рубить клиентов (тем более целыми сетками) у меня как инженера нет пермиссий (естесвенно). Ваш самый большой минус - то что вы человек, вы просто не в состоянии отследить/заметить то количество паттернов атак которые может заметить Anomaly Detecotor, и уж точно как человек вы не переварите 2Gb мусорного трафика как это делает Guard. Guard, кстати, фильтрует мусорный трафик, а не рубит все подряд.
Ну во первых, отрезать ICMP целиком нельзя - пакеты нескольких ICMP-типов все же придеться пропускать. Во вторых, ICMP пакеты замечательно фрагментируется и вы просто получите шквал ICMP фрагментов размером равным MTU. Любой пакетный фильтр бессилен - стандартная схема "положить канал".
SYN-флад вообще убить нельзя, тем более пакетным фильтром ;) В большинтсве случаев source адресса поддельные и что вы хотите добиться "с помощью netstat+bash+хозяйство из /bin, /sbin+pf" не очень понятно.
Вообщем, политика двойных стандартов. Но ради интереса группа пользователей ЖЖ может оформить групповое заявление по поводу этого оскорбления, вот и посмотрим...
Чем блейд сервера отличаются от обычных кроме более быстрой внутренней шины и пониженым тепловыделением?
(извините что встреваю в эту высокоинтеллектуальную дескуссию)
Не идти на выборы - значит отдать свой голос Медведеву.
Идите на выборы и просто забирайте свои бюллетени домой (голосовать "против всех" не эффективно, увы)
Я прекрасно знаю что мой виртуал обезательно посетит эти выборы, поэтому я целенаправленно пойду на выборы и как минимум анагилирую свой бюллетень, как миксимум сделаю это публично с криком: "У МЕНЯ НЕТ ВЫБОРА"
В свое время я курировал тендер на защиту сетей одного крупного российского провайдера, много чего предлагали, рассказывали. Решили заморачиваться тендером после DDoS (на пике 600 Мегабит чистого флада, те самые фрагментированые ICMP пакеты, SYN-флад), сервера хостинга сдуло моментом (подключены по 100Мб), умудрились положить и MPLS сеть. На виртуальном хостинге около 2000 комерческих сайтов - рубить клиентов (тем более целыми сетками) у меня как инженера нет пермиссий (естесвенно). Ваш самый большой минус - то что вы человек, вы просто не в состоянии отследить/заметить то количество паттернов атак которые может заметить Anomaly Detecotor, и уж точно как человек вы не переварите 2Gb мусорного трафика как это делает Guard. Guard, кстати, фильтрует мусорный трафик, а не рубит все подряд.
и чего?
> или с icmp ддосом?
> кому нибудь реально удавалось бороться с бот сетями размером от 5000 ботов?
Cisco Anоmaly Detector + Cisco Guard на границе сети. Жутко дорого, но здесь без вариантов.
SYN-флад вообще убить нельзя, тем более пакетным фильтром ;) В большинтсве случаев source адресса поддельные и что вы хотите добиться "с помощью netstat+bash+хозяйство из /bin, /sbin+pf" не очень понятно.
> оригинальный файл скоМпилирован MINGW GCC
поправте, пожалуйста
(извините что встреваю в эту высокоинтеллектуальную дескуссию)
Идите на выборы и просто забирайте свои бюллетени домой (голосовать "против всех" не эффективно, увы)
Я во время третьегорейха живу или где?
Дефакто это такая маленькая книжечка с российским флагом и стоимотью 20-30 рублей, но не более