DDOS защита от атак любого уровня.

грубо говоря, ваша защита только от http flood, от icmp и udp вы не защитите (канал просто забьёт) ... дорого.. :)

Грубо говоря, вы читали между строк. Вон, пожалуйста, кидайте в mp3skyline.com udp, icmp и т.д... толку то, если оно отфильтровано на аплинках. Если у меня покупать сервис, то реально на icmp,udp флуд до 10-11 гигабит просто положить. Это очень дорогие атаки и очень давно их уже не видел...

ps. От забития канала тоже технологии свои есть. Если в ДЦ ставлю свое оборудование, то на гигабитном канале могу держать атаку в 5-10 раз большую. Да хоть в сто раз большую... технология одна и таже. Просто защищать я сейчас могу только http, а не всякие там ftp, smtp, https и т.д.

Хорошо, уточню свой вопрос, Вы сами будете договариваться о фильтрации этого траффика (udp, icmp) у аплинков, если да, то за какие деньги?

Цены я уже с учетом всего привел, если как сервисом воспользуетесь. Есть лимиты какие-то, но оглашать их тут не буду - комм тайна. Могу еще раз повторить:

Как настраивается - что считать атакой..?

Т.е. например кто-то телепорт натравили на большой сайт, много запросов с одного адреса - это атака?

А если с кучи разных адресов идут запросы GET (не HEAD) это атака?

А если сайт - донор RSS и другого контента для кучи реципиентов... это атака?

Покажите настройки системы, поясните логику/архитектуру. У вас нечто вроде ipfw только с оперативной БД или что?

если сайт донор RSS, то как-то сложнее уже... можно что-то придумать думаю. но я так скажу - если вас валить будут хорошо, то вам не до RSS будет. номинально в режиме защиты срубает ботов причем всех, только поисковики крупные не рубит, т.к. они мимо завернуты.

как вариант rss можно куда-то на отдельный домен вынести

Нет, не покажем. У нас почти как cisco guard только лучше, а к тому же своё и родное, полностью заточенное под HTTP. Конечно же не по всем фичам лучше, но речь только про HTTP. Т.е. я хочу сказать, что через какое-то время этот продукт по протекшену HTTP будет известен примерно на таком же уровне. Но сами понимаете, пока это все не засунуть в железо откуда вынуть очень сложно, то стырят это моментом. Поэтому продаем пока как сервис + фряшникам желающим ядра/модули свои даём, само собой с привязкой к железяке и ip диаппазону.

Нам по идее интересен подобный продукт, но уж не кот в мешке. Логику надо понимать.

А так... купи то - не знаю что... кхе. Ктож так товар продает.

Боюсь, что логику порой бывает сложно пояснить. Циско же не отчитывается перед народом как она флуд коррелирует, так же как и прочие Arbor и т.д. От HTTP атак очень эффективна защита через редирект, которая у нас выполнена в надцати вариантах. Все остальное как бы на столько покрыто тайной, что даже намеками пояснять как оно там лопатит не хотим.

Это Вас не флудят просто сейчас, а так бы Вам без разницы было бы что там и как фильтруется. Мне в данный момент проще продавать сервис, чем пояснять как и что тут работает. Тут вот люди одни помню как-то на одного товарища писали мол несолидно как-то - без договора, за вебмани. А я вот у него покупал. Ну что поделать, перепродает человек сервис крупной зарубежной фирмы - вешает кучу клиентов на один аккаунт, тем и живет. Главное что результат есть по фильтрации и две недели спокойно на нем перекантовались. А вот Вы будите платить 5-6k$ в мес? Нет конечно, т.к. пока не флудят оно и не надо. У нас же много где аккаунты хорошие есть, вот на уже готовых площадках, но мы дофильтровываем за ними и клиенту отдаем туннелем. Поэтому и цена дешевле, т.к. народу много на таких аккаунтах сидят, ну и флудят не всех сразу.

Через них Вы ничего не решите. Попробуйте на staminus.net вообще что-то про защиту от DDOS найти. Там не то что кот в мешке, а как бы вообще что-то неописуемое. Думаете какое-то описание дадут? Нет конечно... мы лидеры индустрии, бест сервис фо бест прайс - больше ничего не добьетесь. Знаете, потихоньку такими же становимся, т.к. поснять такие вещи вообще не надо - злые парни тоже читают.

SLA спросите? Никаких тут SLA нет... очень серьезная фирма у которой когда-то протекшен покупал на уровне марштутизации пошинковало половина мира и оставила одни штаты. Если у Вас кастомеры в РФ, то такое конечно же не надо. Но у них все по SLA за-то было. Неделю из РФ видны не были и всё, а так сайт работал.

kostich,

Речь несколько не об этом. Флуд тоже разный бывает. Один из вариантов - нужна защита от избыточной нагрузки. Простой пример – на хосте несколько тысяч простых сайтов и на них иногда наваливаются боты спамеры, боты ищущие уязвимости и т.д. Т.е. это не ДОС, а паразитная нагрузка, которую гораздо удобнее решать средствами ядра. Тот же самый RSS... у клиентов чтонт заклинит - и они тоже могут много лишей загрузки сделать. Банить их не нужно, а надо тайм-ауты увеличивать.

Отсюда и возникают вопросы – как работает система. Поскольку надо и паразитный трафик отсекать и в тоже время клиентские службы не резать, которые могут тоже много нагрузки создавать. Т.е. нужна гибкость в настройках фильтров, тайм-аутов и прочего.

Когда тебя «тупо» досят – с этим все ясно. Но бывают разные ситуации.

Вот такого рода моменты и хочется понять. Фильтрация на аплинках в данном случае мало волнует. Теоретически нужно нечто вроде apach_bandwith но на порядок шустрее и корректнее работающее, с возможностью банов (в т.ч. и временных) и с большой гибкостью настройки.

Грубо говоря описание может быть такого рода: трафик завернут на сервис, который по набору правил (а насколько они гибкие и какие могут быть фильтры?) с использованием БД (какой? В оперативке, в файловой Бд с кешем в оперативке?) либо пропускает пакеты (опять же на каком уровне идет срезка… пакеты, коннекты?) либо выдает такие-то коды ошибок (мы же о http говорим…) либо делает задержки на ответы…

Никаких великих секретов такое описание не откроет, но даст понимание – о чем идет речь. Также не помешают циферки – сколько чисто софтовый сервис скушает ресурсов и сколько при этом сможет удержать паразитов (речь не о гигабитах, а о коннектах, размере стека адресов и т.д.)

Ну и для данного вида защиты управление правилами желательно на стороне клиента, соответственно абон. плата нежелательна.

не знаю какими средствами ядра это можено решить... подскажете?

у нас есть контент базед фильтр, который либо упорядочивает доступ, либо банит... ни о каких таймаутах речь не идет.

Если мы ставим, то саппорт наш по мере возможностей решает. Если тех возможности нет, то её нет.

Не представлю как многие решают вопрос с "тупо досят". Отказывают от клиента и всё, т.к. в наличии никаких тех средств как правило нет. Атаки отсеивающиися по рейтингованию давно уже не проходили, т.к. боты сейчас от юзеров на первый взгляд ничем и не отличаются. Или цену заградительную выставляют + счета за трафик.

Сейчас сервис продаем. Софт ставим тем кому он реально нужен, а тем кто на перспективу можем только обещать. Если валида под 200 мегабит, то мы тунель подать не сможем... помогаем клиенту отбится в том месте где он стоит. А если клиент и так под 16k$ за BW выкладывает, то ему наши цены как-то, если прокатит особенно, совсем по барабану.

У нас не прокси - канальный уровень. Нет никаких выдач кодов и ошибок... либо лимитирование либо бан. Нет у нас никакой БД, точнее можно назвать БД, но графы, списки и прочие деревья.. это так - низкий уровень.

У нас нет понятия в коннектах, т.к. мы не работаем с сокетами. Есть дырка в сервере, 100 мегабит к примеру, вот пока её не забьют паразитный трафик не будет идти к клиенту. Есть фермы целые - по гигабиту на сервер и таких штук 10... хоть 4 миллиона одновременных коннектов - разницы нет, т.к. технология к этому не критична.

Если у Вас хостинг или свой ДЦ, то давайте общаться. Контакты даны выше, встреча реальная возможная по всей РФ. Я не в силах сделать профи из персонала заказчика, т.к. если не хватает опыта, то поможет только время. Тем не менее задачу надо решать и мы решаем её своим саппортом. Прекрасно знаем что наша система может пропускать и т.д.... если атака пролетает, то мы решаем это оч быстро.