- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
я так понял, вы привели свой же пост из другого блога http://anti-ddos.livejournal.com/765.html. там подробнее написано
Для того, чтобы очищать паразитный трафик с помощью специализированных средств (Arbor Peakflow SP+TMS, Cisco Guard, Radware DefensePro, Riorey RG 10/20 и т.д.), а не просто его блэкхолить (BGP Blackhole) на апстримах, оператору необходимо иметь пропускную способность каналов = полезный трафик + паразитный, а также систему очистки трафика с пропускной способностью = паразитный трафик. С учётом 100Гбит/с паразитного трафика, в России можно найти оператора, который переварит такие объемы на внешних каналах, но вот оператора, который имеет устройство очистки в 100Гбит/с - нет! То есть, априори атаку такой мощности можно только блэкхолить.
я писал о суммарной пропускной способности каналов. поэтому для того, чтобы
поиметь 100Г распределенно, как не крути все равно надо купить либо 100*1Гбит/с, либо 10*10Гбит/с и т.д.
Надо купить, да.
Но их не надо никуда тянуть, максимум 100 метров в одном помещении.
Но они не будут выделены и постоянно загружены.
Но несколько точек подключения на страну будут магическим образом сеть стороннего оператора разгружать избавляя его от необходимости передавать паразитный трафик на своих мощностях. Оператору выгодно сотрудничать с таким сервисом.
Значит, можно и договориться дешевле обычного ценника.
Но тогда я обижусь сам на себя.
И да, я действительно не занимаюсь предоставлением крупномасштабных услуг защиты от атак, но почему вы мне отказываете в праве рассуждать?
netwind добавил 18.10.2010 в 16:24
Так в таком случае нормальные толковые специалисты воспримут это как попало, что может быть и происходит сейчас.
__________________
sh run ! ... ололо ......... я спецылист!.....
это должно добавить убедительности?
sh run ! ... ололо ......... я спецылист!.....
это должно добавить убедительности?
Я понял, вы только что сам сказали что кого-то убеждаете тут, не убедительности, а ясности!
Надо купить, да.
Вы покупали? Может цены назовете? С ваших слов, купить так пару сотен гигов для оператора середнячка ничего не стоит, а уж крупняк так вообще не задумываясь терабитами берёт. Можно пару примеров российских операторов с внешними каналами >300Гбит/с?
Для примера:
http://www.robtex.com/as/as6854.html чёт синтера до 300 не дотягивает. бедная контора?
http://www.robtex.com/as/as12389.html у ростелекома всё впорядке.
но почему вы мне отказываете в праве рассуждать?
Вам свойственно приписывать мне то, чем я не занимаюсь. Я только буду за, если вы будете именно рассуждать и приводить факты с цифрами, а не на уровне мне так кажется, а также предлагать догадаться.
http://www.robtex.com/as/as12389.html у ростелекома всё впорядке.
Так а что толку если там 3x60 Gb идут в MSK-IX ?:)
Так а что толку если там 3x60 Gb идут в MSK-IX ?:)
Роман, толк в том, что ростелеком подключается к апстримам не только на MSK-IX, а еще и на AMS-IX, DE-CIX... Поэтому трафик будет литься через всех апстримов, через кого-то больше, через кого-то меньше, но не суть.:)
Роман, толк в том, что ростелеком подключается к апстримам не только на MSK-IX, а еще и на AMS-IX, DE-CIX... Поэтому трафик будет литься через всех апстримов, через кого-то больше, через кого-то меньше, но не суть.:)
Ну так это поможет только если 90% трафика будет поступать через MSK-IX что в случае с китайцами не реально, а в случае MSK-IX трафика, это по телефону провайдеры между собой быстро урегулируют :)
anti_ddos, причем здесь возможности конкретного традиционного оператора? что это докажет применительно к обсуждаемому сервису?
антиддос-сервис только поглощает трафик в разных точках, но не передает. Обычные порядки цен и расчеты будут неприменимы. Эта услуга уникальная.
Чтобы мне озвучить эти цифры, потребуется стать сервисом подобного же масштаба.
Но я считаю, что они намного меньше традиционных в следствие обоюдовыгодности и провайдерам доступа и антиддос-сервису.
netwind, при том, что если себе такие каналы не может позволить крупный оператор, то такие сервисы и подавно. Prolexic - самый крупный из anti-ddos сервисов, работающий по схеме с проксированием трафика путем DNS редиректа или анонсированием по BGP адресного пространства защищаемого клиента. При этом пролексик имеет суммарный канал - 150Гбит/с (http://www.prolexic.com/index.php/why-prolexic/our-global-network/). А теперь вопрос, как вы собираетесь чистить трафик, если вы его даже принять на себя не можете? Поэтому и задал его костичу, а способны ли они собсно принять такой трафик? Потому как, имхо, не было такого трафика. Я не веду спор о том плох или хорош антиддос-сервис такого типа, у него есть как свои плюсы так и свои недостатки (если надо могу перечислить).
Какие обоюдовыгодности, назовите? Вот я не понимаю. По мне так такой сервис не имеет каких-либо преференций. Так как обоюдовыгодность, как раз выражается в способности генерировать трафик, а не только потреблять. Играть они могут только на "полосе по требованию" и оплачивать паразитный трафик во время атаки по более низкой цене. Но тех, кто будет работать по такой схеме, еще нужно поискать.
anti_ddos, ну вот там же написано :
почему вы решили, что пролексик весь этот трафик еще и перекачивает к себе и только потом фильтрует ? почему нельзя сделать наоборот?
дайте лучше IP из их сети, посмотрим как оно выглядит в роутинге
www.prolexic.com что-то как то быстро закончился :
Большие DDoS - ы бывают. Мне к примеру на гигабитный интерфейс + шейп прилетело 27 гигабит синфлуда. (сумма со слов нескольких аплинков). На 20 минут смыло и ДЦ и аплинков. Тут же была отправлена в блекхол айпишка, куда это все валилось и началась процедура разноса клиентов по разным ip-шкам, и поиск атакуемой точки делением пополам. С простоями, кучей недовольных клиентов... И вообще ничего романтичного, приятного и гордого в этой истории не помню.
т.е. с ддосами я таки немножко сталкивался. И вывод очень простой - если построение и обслуживание системы защиты информации стоит на порядки дороже чем (прибыль, которую эта система обеспечивает в сумме с убытками от простоя) - нет смысла заниматься защитой. Нужно останавливать систему и блекхолиться.
Если не секрет - уточните по чем вам обходится в месяц ваш, если не ошибаюсь 10 гигабитный гарантированный канал, и очень интересно сколько зарабатывает чистыми в сутки этот владелац адалт партнерки, что имеет возможность использовать такой канал для защиты от атаки хотя бы в течение нескольких суток?
Как отнеслись другие ваши жители, находящиеся вероятно в том же PI и которым вы обещали защиту к падению от ДДоС-а, к тому что они упали от атаки, напавленной не на них?
Или главное клиента как следует напугать и качественно доить, тогда наоборот за сбои в работе платят даже больше?
О чем же пишет ТС в первом посте? У кого есть ресурс удержать 300 гигабит UDP!!!
Звучит круто шо пипец.
Если бы ТС спросил У кого можно арендовать сервер 32 процессора по 24 ядра в каждом для расчетов - тоже звучало бы круто. Но людей которые знают что такое cluster на этом форуме намного больше чем тех что знают что такое anycast.
И на вопрос про такой сервер с первой страницы были бы более разнообразные ответы начиная с толерантных "а подлежит ли задача кластеризации" до "ты что, censored ?"
Здесь же, слово anycast робко так появилось на 5-й кажется странице.
Вопросы борьбы с крупными DDoS атаками, направленными против http ресурсов решаются так:
Несколько небольших сеток независимо анонсируются из сотен (!!!) узлов, расположенных в разных странах и разных ДЦ.
На них на одном канале напрочь фильтруется весь ненужный udp, icmp, syn flood, и т.д, внутри стоит вяло кеширующий http proxy и по второму, более чистому, и гарантированному каналу перезапрашивает информацию у единого узла, действительно обслуживающего ресурс. Ресурс как правило гео кластеризировать не реально, проще защитить вот так, через прокси.
DDoS ер естественно видит только ip проксей, адрес самой системы закрыть и куда атаковать не понятно.
Делается это потому что арендовать сотню или 400 однопроцессорных тазиков с парой гигабитных интерфейсов на в сумме несколько дешевле чем собирать ниагару в одной точке, принимать десятком 10 или 40 гигабитных модулей и обрабатывать.
Так о чем же пишет ТС ? В одних местах у него 10 гигабит канал. В других у него есть описанная выше сеть, и ему проще фильтровать чем считать, что вообще то маразм... Но он не
спрашивает "у кого можно срочно на несколько суток взять тазик (101-й или 501-й в эту сеть) с гигабитным портом и безлимитным входом, и организовать с него BGP anycast.
Вопрос ставится изначально... ммм.... скажем так понтов в постановке вопроса много, но если задуматься постановка вопроса ламерская.
Потом были поочередно обосраны все известные и не очень компании практикующие antiddos защиту, все известные крупные и не очень магистральщики, но гордо заявлено что "ахерабит ддос на адалт партнерку нашего клиента мы удержали, мы круче всех".
Еще раз задаю вопрос - а сколько стоит вам защита от такой атаки, сколько денег вы берете с клиента, сколько зарабатывает эта партнерка и зачем ей платить за защиту в (сотни?) раз больше своей прибыли?