Не хочется огорчать или на кого-либо наезжать, но даже супер-админ не сможет настроить автоматизированную защиту от ддосов на все случаи жизни. Что будем делать если допустим я напишу программу которая будет менять типы атаки на каждом зараженном компьютере каждые 2 минуты, с ротацией размеров пакетов, количества, интервалов, при этом еще и с огромным листом для спуф-адресов (как минимум)? А если в спуф адреса пойдут адреса сетей фсб, мвд и т.д, что будете делать когда ваши ответы (syn-ack) на тот же банальный syn flood пойдут не куда-то а в сетки наших дорогих органов, и они это воспримут как syn-ack flood _от ваших хваленых серверов_? Вам никогда не звонили возмущенные люди, которые в гневе говорят что Вы потеряли совесть и ддосите их именно ВЫ? ;)
Извините, но по своему 20летнему опыту работы админом скажу что вы живете в мире иллюзий — если человек умный он напишет программу с адаптацией типа атаки, от который ни один самописный скрипт не спасет.
Но… скажу что например TippingPoint хоть и дорогая железка, но она того стоит, в 98% спасает от подавляющего большинства атак. И автоматизирована, никаких админов не нужно :)
и кошки выдержат бомбёжк мелкими пакетами? :) Верно, не выдержат, ибо уже было неоднократно доказано что выдерживают только juniper, к моему величайшему сожалению… :(
Не совсем так было дело, башоргу было предоставлено бесплатное место и бесплатное отражение атаки взамен на показ баннеров. Все выиграли, ддос был погашен и хостер получил прилив клиентов.
Но это не позиционировалось как «хостинг который хрен завалишь», это была рука помощи конкретно башоргу в момент когда шло голосование на премию рунета, которую башорг в результате и получил. ;)
Тарпит выжрет ресурсы и на самой машине, на каждое соединение аллокируется определенное количество байтов (в зависимости от ОС оно разное), это не выход при сильном ДДоСе
Вопрос не так надо ставить — надо делать так, чтобы это самое максимальное количество не было достигнуто. Ставьте Nginx для блокировок динамики, а еще лучше просите хостера блокировать на фаерволле до того как трафик попадет на сетевую карту вашего сервера. Если нужны варианты — пишите в личку.
Верно, и вопрос в том не _где_ отражают атаку а _кто_ отражает.
Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
Тем кто писал это — просьба не давать ложную информацию. Как совладелец компании Hostex Internet Services могу заявить что эти тесты были проведены в 2007 году, а именно 2 летней давности. Сейчас картина совершенно другая, ибо каналы в датацентре совсем иные.
Проверяйте факты, товарищи.
Извините, но по своему 20летнему опыту работы админом скажу что вы живете в мире иллюзий — если человек умный он напишет программу с адаптацией типа атаки, от который ни один самописный скрипт не спасет.
Но… скажу что например TippingPoint хоть и дорогая железка, но она того стоит, в 98% спасает от подавляющего большинства атак. И автоматизирована, никаких админов не нужно :)
Но это не позиционировалось как «хостинг который хрен завалишь», это была рука помощи конкретно башоргу в момент когда шло голосование на премию рунета, которую башорг в результате и получил. ;)
Согласен, вот тому пример.
Многие провайдеры просто дергают сетевой провод или уводят в blackhole, тогда как профи защищают своих клиентов, и как правило не берут даже за это денег т.к. это входит в любой пакет услуг. Само собой каналы должны быть толстыми, иначе никакие мозги не помогут ;)
Проверяйте факты, товарищи.
Михаил.