DDOS. Решение - выдернуть сетевой кабель.

смотря какой ддос и какой дц - в некоторых дц да, это единственное для них приемлемое решение.

я просто подумал, что это варварский метод какой-то. Не правильнее ли все IP в deny from записать? Хотя я не спец в этом.

Тогда у вас то же самое получится что и с выдернутым кабелем.

ну смотря сколько этих ай-пи. если их десятки тысяч то это уже проблематично. чувствительность к атакам у ДЦ разная и при мощных атаках особенно с большим входящим трафом для ДЦ невыгодно разбираться с атакой.

То есть способ deny from откровенно плохой, правильно я понял?

Нет, просто очень немногие могут себе позволить разбиратся с вашими атаками. Они ведь разные бывают, нужно за атакой следить, думать как лучше атаку отразить, но обычных пользователей все же пускать итд. Более того важна так-же мощность атаки. Некоторые (мощные) действительно нет смысла фильтровать - намного проще все отключить и подождать конца.

В общем эта тема довольно сложная, и подавляющее большинство ДЦ за деньги, которые стоят "бюджетные" сервера разбиратся с этим не будут.

А если вам действительна нужна защита от всяких атак - ищите хороших спецов в этом направлении и готовтесь платить соответствующие деньги.

Как правило кабель отсоеденяют от сервера как последняя мера после предупреждения за что-то, например, если вы нарушаете какие-либо действия протеворечащие законодательству. А так бороться с доссом просто глупо. Подключат обратно через некоторое время, а он опять пойдёт.

У моего хостера бывают тоже атаки на сервера, но он решает эту прблему с персоналом на уровне датацентра в США и вроде пока успешно.

Перевожу ситуацию на более понятную.

Вы продавец магазина, где я постоянно покупаю по банке огурцов еждневно. При том, Ваш магазин в Москве, я живу в Питере. Я очередной раз купил свою банку, но у меня за это время спёрли машину. Вот я прихожу к Вам и прошу, чтоб меня Вы в рабочее время отвезли в Питер за свой счёт, ведь я Ваш клиент, который постоянно покупает огурцы 😂

То есть, от Вас я по сути прошу человеческих ресурсов (аналогия водителя с администратором), материального вложения (топливо аналогия с трафиком). Больше не будет углублятся в расходы, хватит и этого. Ваши действия?

Возвращаемся к ситуации с выдернутым шнуром. Даже тогда, когда шнур выдернули, DDoS атака продолжается и забивает входной канал. Типично на сегодняшний день атаки не бывает слабее чем 200-300 мбпс. Пока этот канал забит, страдает другие жители этого датацентра. Реально датацентра может спасти только обращение к выше стоящему поставщику трафика, чтоб они блокировали IP, которого ддосит. Но по любому, до какого то уровня этот трафик у кого то остаётся и забивает канал.

Чтобы защищать IP или сервер надо много челевеческих ресурсов, плюсь оплачивать трафик. При том, пока голова ботнета получает сигналы что жертва ещё жива, она на атаку поставляет дополнительные зомби, то есть умощняет атаку. Нормальный ботнет без особых проблем может забить не то что 100 мбпс канал, а целый гбпс. Для орентации, аренда выделенного 100 мбпс канала в Европе стоит около 1000 Евро ежемесячно. При покупке 1гбпс естественно будет дешевле, но цену такого канала можете прикинуть сами.

По сути, защита от DDoS ведётся за счёт сэкономленного или свободного трафика и в ужчерб другим клиента, которые используют тот же канал. Извините, но Вы должны быть любимцем хостёра, чтобы он жертвовал другими клиентами.

P.S. Хотя и примитивно всё, но я н знаю как просто объяснить почему спасение утопающих дело самих утопающих если они не заказили охрану :)

однако отключение патчкорда от сервера не решает проблему с забитыми каналами ДЦ- роутеры ДЦ продолжают маршрутизировать пакеты до сервера - другой вопрос, что эти пакеты не доходят. Нагрузка на роутеры и внешние каналы остается. Это помогает в случае когда ботнет понимает, что сервер уже не доступен и прекращают напрягатся. Обысно такого не происходит :(

off

qwartyr, Ваш диз поразительно напоминает диз мультихоста, Вы имеете к ним какое-то отношение?

off