У кого есть ресурс удержать 300 гигабит ddos UDP ?

я так понял, вы привели свой же пост из другого блога http://anti-ddos.livejournal.com/765.html. там подробнее написано

Надо купить, да.

Но их не надо никуда тянуть, максимум 100 метров в одном помещении.

Но они не будут выделены и постоянно загружены.

Но несколько точек подключения на страну будут магическим образом сеть стороннего оператора разгружать избавляя его от необходимости передавать паразитный трафик на своих мощностях. Оператору выгодно сотрудничать с таким сервисом.

Значит, можно и договориться дешевле обычного ценника.

Но тогда я обижусь сам на себя.

И да, я действительно не занимаюсь предоставлением крупномасштабных услуг защиты от атак, но почему вы мне отказываете в праве рассуждать?

netwind добавил 18.10.2010 в 16:24

sh run ! ... ололо ......... я спецылист!.....

это должно добавить убедительности?

Я понял, вы только что сам сказали что кого-то убеждаете тут, не убедительности, а ясности!

Вы покупали? Может цены назовете? С ваших слов, купить так пару сотен гигов для оператора середнячка ничего не стоит, а уж крупняк так вообще не задумываясь терабитами берёт. Можно пару примеров российских операторов с внешними каналами >300Гбит/с?

Для примера:

http://www.robtex.com/as/as6854.html чёт синтера до 300 не дотягивает. бедная контора?

http://www.robtex.com/as/as12389.html у ростелекома всё впорядке.

Вам свойственно приписывать мне то, чем я не занимаюсь. Я только буду за, если вы будете именно рассуждать и приводить факты с цифрами, а не на уровне мне так кажется, а также предлагать догадаться.

Так а что толку если там 3x60 Gb идут в MSK-IX ?:)

Роман, толк в том, что ростелеком подключается к апстримам не только на MSK-IX, а еще и на AMS-IX, DE-CIX... Поэтому трафик будет литься через всех апстримов, через кого-то больше, через кого-то меньше, но не суть.:)

Ну так это поможет только если 90% трафика будет поступать через MSK-IX что в случае с китайцами не реально, а в случае MSK-IX трафика, это по телефону провайдеры между собой быстро урегулируют :)

anti_ddos, причем здесь возможности конкретного традиционного оператора? что это докажет применительно к обсуждаемому сервису?

антиддос-сервис только поглощает трафик в разных точках, но не передает. Обычные порядки цен и расчеты будут неприменимы. Эта услуга уникальная.

Чтобы мне озвучить эти цифры, потребуется стать сервисом подобного же масштаба.

Но я считаю, что они намного меньше традиционных в следствие обоюдовыгодности и провайдерам доступа и антиддос-сервису.

netwind, при том, что если себе такие каналы не может позволить крупный оператор, то такие сервисы и подавно. Prolexic - самый крупный из anti-ddos сервисов, работающий по схеме с проксированием трафика путем DNS редиректа или анонсированием по BGP адресного пространства защищаемого клиента. При этом пролексик имеет суммарный канал - 150Гбит/с (http://www.prolexic.com/index.php/why-prolexic/our-global-network/). А теперь вопрос, как вы собираетесь чистить трафик, если вы его даже принять на себя не можете? Поэтому и задал его костичу, а способны ли они собсно принять такой трафик? Потому как, имхо, не было такого трафика. Я не веду спор о том плох или хорош антиддос-сервис такого типа, у него есть как свои плюсы так и свои недостатки (если надо могу перечислить).

Какие обоюдовыгодности, назовите? Вот я не понимаю. По мне так такой сервис не имеет каких-либо преференций. Так как обоюдовыгодность, как раз выражается в способности генерировать трафик, а не только потреблять. Играть они могут только на "полосе по требованию" и оплачивать паразитный трафик во время атаки по более низкой цене. Но тех, кто будет работать по такой схеме, еще нужно поискать.

anti_ddos, ну вот там же написано :

почему вы решили, что пролексик весь этот трафик еще и перекачивает к себе и только потом фильтрует ? почему нельзя сделать наоборот?

дайте лучше IP из их сети, посмотрим как оно выглядит в роутинге

www.prolexic.com что-то как то быстро закончился :

traceroute to 209.200.154.11 (209.200.154.11), 30 hops max, 60 byte packets
 1  unknown.eserver-ru.com (91.189.x.x)  0.950 ms  0.937 ms  0.938 ms
 2  blackhole.prolexic.com (195.66.224.31)  51.882 ms  52.819 ms  51.865 ms
 3  unknown.prolexic.com (209.200.156.34)  51.852 ms  51.839 ms  51.799 ms
 4  unknown.prolexic.com (209.200.154.11)  52.740 ms  51.751 ms  51.709 ms

Большие DDoS - ы бывают. Мне к примеру на гигабитный интерфейс + шейп прилетело 27 гигабит синфлуда. (сумма со слов нескольких аплинков). На 20 минут смыло и ДЦ и аплинков. Тут же была отправлена в блекхол айпишка, куда это все валилось и началась процедура разноса клиентов по разным ip-шкам, и поиск атакуемой точки делением пополам. С простоями, кучей недовольных клиентов... И вообще ничего романтичного, приятного и гордого в этой истории не помню.

т.е. с ддосами я таки немножко сталкивался. И вывод очень простой - если построение и обслуживание системы защиты информации стоит на порядки дороже чем (прибыль, которую эта система обеспечивает в сумме с убытками от простоя) - нет смысла заниматься защитой. Нужно останавливать систему и блекхолиться.

Если не секрет - уточните по чем вам обходится в месяц ваш, если не ошибаюсь 10 гигабитный гарантированный канал, и очень интересно сколько зарабатывает чистыми в сутки этот владелац адалт партнерки, что имеет возможность использовать такой канал для защиты от атаки хотя бы в течение нескольких суток?

Как отнеслись другие ваши жители, находящиеся вероятно в том же PI и которым вы обещали защиту к падению от ДДоС-а, к тому что они упали от атаки, напавленной не на них?

Или главное клиента как следует напугать и качественно доить, тогда наоборот за сбои в работе платят даже больше?

О чем же пишет ТС в первом посте? У кого есть ресурс удержать 300 гигабит UDP!!!

Звучит круто шо пипец.

Если бы ТС спросил У кого можно арендовать сервер 32 процессора по 24 ядра в каждом для расчетов - тоже звучало бы круто. Но людей которые знают что такое cluster на этом форуме намного больше чем тех что знают что такое anycast.

И на вопрос про такой сервер с первой страницы были бы более разнообразные ответы начиная с толерантных "а подлежит ли задача кластеризации" до "ты что, censored ?"

Здесь же, слово anycast робко так появилось на 5-й кажется странице.

Вопросы борьбы с крупными DDoS атаками, направленными против http ресурсов решаются так:

Несколько небольших сеток независимо анонсируются из сотен (!!!) узлов, расположенных в разных странах и разных ДЦ.

На них на одном канале напрочь фильтруется весь ненужный udp, icmp, syn flood, и т.д, внутри стоит вяло кеширующий http proxy и по второму, более чистому, и гарантированному каналу перезапрашивает информацию у единого узла, действительно обслуживающего ресурс. Ресурс как правило гео кластеризировать не реально, проще защитить вот так, через прокси.

DDoS ер естественно видит только ip проксей, адрес самой системы закрыть и куда атаковать не понятно.

Делается это потому что арендовать сотню или 400 однопроцессорных тазиков с парой гигабитных интерфейсов на в сумме несколько дешевле чем собирать ниагару в одной точке, принимать десятком 10 или 40 гигабитных модулей и обрабатывать.

Так о чем же пишет ТС ? В одних местах у него 10 гигабит канал. В других у него есть описанная выше сеть, и ему проще фильтровать чем считать, что вообще то маразм... Но он не

спрашивает "у кого можно срочно на несколько суток взять тазик (101-й или 501-й в эту сеть) с гигабитным портом и безлимитным входом, и организовать с него BGP anycast.

Вопрос ставится изначально... ммм.... скажем так понтов в постановке вопроса много, но если задуматься постановка вопроса ламерская.

Потом были поочередно обосраны все известные и не очень компании практикующие antiddos защиту, все известные крупные и не очень магистральщики, но гордо заявлено что "ахерабит ддос на адалт партнерку нашего клиента мы удержали, мы круче всех".

Еще раз задаю вопрос - а сколько стоит вам защита от такой атаки, сколько денег вы берете с клиента, сколько зарабатывает эта партнерка и зачем ей платить за защиту в (сотни?) раз больше своей прибыли?