отфильтровать udp

ну почитайте договор )

он для начала существовать должен.

Ну так заключите...

из этой темы ТОПы Ростелекома сейчас что-то новое про свою контору узнают 🍿

kostich добавил 27.04.2011 в 17:00

а у Вас заключен договор, по которому Вас из-за вашего клиента со всеми потрохами защищать должны?

А у нас в квартире газ... ))). Не поняли и ладно. Ни коммерческого предложения от вас не добиться, ни профита никакого. Только так, сказать, что у вас лучше. Если Ростелеком обратится ко мне с подобной просьбой - он будет меня защищать. Узнайте у ТОПов. А как же я их буду реселлить по их просьбе успешно?

З.Ы. Перечитайте мой пост еще раз, может быть, станет понятнее, что я имел ввиду и тогда и сейчас.

Raistlin добавил 27.04.2011 в 17:35

З.З.Ы. Перечитал сам. Не дописал в том посте слово "им", приношу извинения, ошибочка вышла.

1) "вы" пишется с мелкой буквы.

2) http://hanty.u-tel.ru/b2b/Internet/protect_tarif

Ежемесячный платеж

Оказание услуг защиты IP-адресов абонента от DDoS-атак 20 000,00

Услуга «Защита от DDoS-атак» предоставляется при условии подключения Абонента к сети Интернет через сетевую инфраструктуру ОАО «Ростелеком». Под объектом понимаются технические средства Абонента, имеющие один IP-адрес или диапазон IP-адресов одной IP-подсети.

Нет, он написал правильно. Это этикет: в данном случае не корректно то, что я пишу с маленькой.

Ага, ага. Оно же, только в другой обертке и под другим соусом.

Raistlin просто вы сказали 100мегабит сразу же превратятся в 1гигбаит, я сказал что это маловероятно... а так оно и есть.

Himiko рад за вас

я измерял сумму атаки в мегабитах, а хттп-флуд в кол-ве ботов.

я видел атаки и 10гбит, но естественно ниче сделать мы не могли.

или вы со мной не согласны?

и прочитайте внимательнее,

"в среднем 80% атакуемых сайтов фигарят <1k ботов, процентов 10-15 от 1к до 10к, и только 5% действительно мощных атак" - скажите это не так? мощные атаки по вашему сколько занимают процентов от общих атак?! 50?!

Зависит от сайта, на некоторые 1 гигабит раз в 2-3 недели падает, 10 гигабит раз в два месяца и раз в год 100 гбит :)

Решение по защите в таком случае либо anycast, но с приходом ipv6 это не будет работать, либо просто blackhole community, что обычно и делают.

Т.к. эникаст обойдется в минимум 10 тысяч евро в месяц.

Да и опять же pps волновать сильно будет.

Атакуют короткими UDP пакетами в 100 гбит - любая циска загорится. 670 mpps

Так какой всё-таки атаки и как вы её отбивали? Речь несколько страниц шла о http-флуде.

Где вы её видели? Явно не на графиках загрузки каналов сервера.

По поводу "не смогли" может и не в мегабитах измеряться. Далеко не любую атаку (даже укладывающуюся в канал) можно отбить средствами самого сервера.

Я не считаю атаку свыше 10к действительно мощной. По вашему сообщению так получается.

Я вообще не встречался, чтобы <1k ботов называлось атакой.

Вот вы снова про мегабиты/гигабиты. Я пишу о том, что при действительно сильной атаке (>60-80k ботов) ваш скрипт может быть совершенно не эффективным.

Да и обсуждал я в целом ваш скрипт изначально, потом вы уже перешли на "мегабиты", которые к вашему скрипту защиты от флуда (это ещё спорный момент, от чего он защищает) не имеют отношения.