Защита от Ddos атак.

40К айпишников заблокировал сенсор http флуда ;)

откуда был синфлуд я даже не смотрел . неинтересно ..

Ндяя. у вас очень богатые конкуренты..

Cisco Guard пробовали применять?

не жалуемся, дай бох им процветания

несмог договориться с цыской что бы дали потестировать и не смог найти адекватных людей которые её юзали и настраивали .. у нас просто специфичные требования - то что цыска пишет в рекламме напрямую у нас работать наврятли будет ..

если есть экспириинс в использовании гуарда и анамали детектора - с удавольствием оплатю консультации

У нас больше чем 11 стоек и больше чем 10 гигабитный канал (при этом на всех ix-ах рутеры готовы к апгрейдам линков до 10гиг ) 😂. Стоит это все во всех интересных нам ДЦ, ix-ах и т.д... т.е. если надо, то мы подрежем связность для конкретного префикса как надо и мало кто из провайдеров в мире сможет повторить такой финт... кстати, если не верите, то попробуйте уговорить спринта, лаеров, когент или телию отдавать транзит без китаез... ну или без ДТ... а ДТ это 2 гига спуфленных синов с небольшого ботнета (х.з. на каких линках у них юзера сидят, но это самое страшное вообще)... так вот Вы эти сины получите в любом случае т.к. у ДТ связность и Вы не сможете от них избавится даже при наличии отдельного линка до ДТ... ДТ не хочет продавать ничего кроме транзита. Ну т.е. имея более 500 пиров вы будете всегда получать по самое самое, т.к. задача ваших аплинков заключается в продаже вам бёрста... т.е. у Вас не получится взять 10 мег комита в сотошной дырке до ДТ что бы иметь возможность туда нульраутить... они не будут отдавать блехкол комунити, а если отдадут, то послав префикс в него это всё разойдется дальше и вообще на него ничего ходить не будет.

Простите за поток сознания, но со стороны шашками всегда махать проще... это касается многих BGP гуру, которые в данный момент в розовых очках и еще не знают какая жопа происходит в реальности... мы когда-то тоже думали, что флуд можно получать в дешевые линки, но интересы соседов с этим не стыкуются...

Под ключик в данный момент желания делать нет... хотя если за очень большие деньги, то в течении 7-8 месяцев можно повторить. но в некоторых телехаусах места уже нет там где надо... а то что есть слишком накладно получается (за кроссировку на 5-6 этажей вниз берут более штуки грина в месяц... монополисты хреновы)... и в итоге сотошный канал до китаез обойдется как 10 гиг на de-cix.

kostich добавил 21.10.2008 в 21:03

оно нихрена не работает... а если происходит чудо и оно работает, то затыкатеся где-то в другом месте 😂

kostich добавил 21.10.2008 в 22:57

а если это спуфленый синфлуд? 😂

Хм судя по вашему описанию решение у вас не слабое :) но по уровню цен, думаю для рядовых пользователей и небольших фирм у которых один-два сервера, очень дорогое :(

потому и есть на рынке такие как мы ;)

Ну почему не работает? очень даже работает. Если его грамотно включить и настроить то атаки до 10Гб\с оно фильтрует нормально. Раскажите еще что фирма cisco одни ламеры и не разбираются в сетевых технологиях ничего :)

у вас там на антиддосе нет привычки линк на оригиналы текстов ставить,

или вы хотите сказать это текст ваш http://wiz.su/2007/10/28/borba-s-ddos-i-dos-na-urovne-nginx/

На моем сайте собраны статьи для изучения вопросов защиты от ддос. Я не претендую на их авторство. Если вы автор данного материала, дайте ссылку на официальную статью с подписью автора - я размещу ссылку на оригинал. На этом блоге я не нашел ни одного комента в котором подтверждается авторство этого материала и условия размещения его на других ресурсах в сети.

Перестаньте фантазировать. Вы в курсе с какими портами бывает Cisco Guard? Вы в курсе, что для того что бы включить это железо для фильтрации 10 Гб/с понадобится 3+1 Cisco Guard и 10 гигабитных портов!!!? Вы в курсе, что требуемый балансинг не может балансить больше чем на 8 портов, а следовательно максимальное что можно фильтровать есть 8 Гб/с!!!?. А еще Вы ни разу не в курсе, что при включении в схему с балансингом оно атак вообще в упор не видит... и не в каждой сети её можно включить по такой схеме, т.е. если получится, то это большая удача.

Кто там грамотно его настроил для фильтрации 10 Гб/с?

Типа должен Вам поверить, что Вы знаете про Cisco Guard, который в оригинале сделала Riverhead Networks и который в последствии купила Cisco? Сама Cisco охренела придумывать солюшен для защиты и комерсы купили готовый, который и по сей день толком не работает так как надо... в сязи с чем:

прощай Cisco Guard... с 29 сентября 2008 Cisco Guard XT5650B офицально снят с продаж... чо там про Guard еще нам расскажете? остался еще один, которому тоже скоро кирдык придет.

ps. могу поспорить, что сокращения EOL и EOS для Вас тоже нихрена не значат.

kostich добавил 23.10.2008 в 11:01

по уровню цен это как раз для рядового потребителя.

Такие как вы есть потому, что у них есть возможность взять дедик с протекшеном за 500$ и продавать на нем защенный хостинг по 500$ каждому.

А вот как выглядит Cisco Guard XT 5650

А вот как выглядит NetVillage DDPS в разборе:

ps. как видите для фильтрации 8 гб/с наше решение занимает на 2-3u меньше.

:) угу. а почему не 10 модулей гуард и 50 гигабитных портов? :)

это наверное ваша тактика убеждения клиентов не использовать решения cisco а использовать ваши?

звучит даже почти убедительно. :) Странно только что во всем мире используют Cisco а не kostich...

да какая разница кто ее сделал в оригинале? это бизнес! Cisco сделала выгодную для себя покупку а Riverhead Networks чтобы не обанкротится удачно продалась!

Ну немного не угадали. :) Кроме аппаратной фильтрации оборудованием Juniper в датацентре, мы арендуем стойки в которых в качесте фронтэнда выступает кластер на который и валится основная нагрузка при атаках.

Так что ваш черный пиар оставте для когото другого.

kostich, Интересный у Вас NetVillage DDPS, в гугле 4 ссылки, все - где Вы на него ссылаетесь. Он точно существует? 🙄