Подскажите хостера с защитой от DDOS

если вы посмотрите на инфраструктуру кратора или ддос-протекшен.ру, то заметите, что у обеих фирм оборудование стоит по всему миру.

В пятницу постарается остановить 10 наших серверов, входящих в группу файлообменников и полностью их привязать к управлению ботнетом. Планируем развить мощность 8 000 000 pps. Тестить будем син флудом. Максимальное время теста 10-40 минут, т.к. данная процедура слишком накладно нам обходится. Хостерам, которые захотели принять участие в эксперементе - мой респект!!! Данные о результатах теста, по разрешению хостеров, можем публиковать сюда.

8mpps без вопросов держим... а что вам ваше коло по поводу спуфинга говорит?

большенство хостеров даже 100 000 pps не держат. хотя в большей степени всё зависит от объёма пакета.

в своё время thehost.com.ua получилось положить с одного сервера, да так, что он потом 6 часов восстанавливался.

у вашего аплинка спуфинг разрешен?

к сожалению - нет

Атаки атакам рознь. Все зависит от типа.

Как правило разделяют флуды:

- UDP (ICMP) большими пакетами забить все каналы.

- TCP (syn flood, spoof, etc) - то что проходит к серверу абонента.

- HTTP (полноценные TCP сессии и HTTP GET/POST) запросы.

Из чего строиться защита:

Как правило валят UDP - легче и проще. Особенно с ботнета.

Мы держим до 30Gb/s UDP/ICMP флудов на защищенных IP адресах.

TCP флуды - доходят до севера(ов). Отдельный хорошо настроенный сервер бореться с этим с помощью tcp syn cookies и способен переварить от 100 до 500-800kPPS на хороших сетевых картах Intel 1Gb/s.

Нужно больше - как правило дешевле взять несколько серверов.

Еще есть полуаппаратные решения по защите от TCP Syn флудов на базе Файрволов например Radwire, Juniper SRX, Arbor.

Radware - израильская фирма, мало чего предоставлят из того что их железка умеет делать, никто живьем не видел, описание закрыто, не дали даже.

Juniper SRX - хорошая попытка сделать решение, но немного кривыми руками. Очень плотно изучили и тем не менее не определись на них. Все совсем не так как пишут в тестах.

Arbor - сделан сугубо на базе сервера с 2*10Gb сетевыми платами и софтом на базе Linux. Как правило атаки по Syn Flood меньше 1mpps и с ними не сложно справиться. Если нужно что-то мощное - берем 2*10Gb/s и радуемся жизни.

HTTP флуды - лечатся правильно настроенными веб серверами с проверкой на ботов и игнором нелигитимных запросов или тупо их баном.

Со всем этим мы имеем дело уже около 6 лет.

ТЕНДЕНЦИИ

В связи с тем что многие ДЦ на западе (ovh, leasweb, в румынии) поподключали каналов и раздают сервера в духе 100Tb трафика, то тут же нашлось куча умников кто эти сервера покупает, ставит линукс и банальными командами генераторами трафика (mz, t50, hping и т.д.) делает сколько получится kPPS или даже MPPS трафика в нужную сторону. Это приводит к тому что размеры средних атак TCP Syn Flood сильно ростут и часто составляют 1-4MPPS на нашей практике.

Если у вас 8MPPS - то мало какой хостер будет стоить вам кластер чтобы разрулить этот флуд. (это около 8Gb/s) трафика, хотя технической сложности тут нет если есть ресурсы: канал, оборудование, руки, мозг, дистрибутив FreeBSD/Linux. Железные роутеры давно уже имеют коммутирующие матрицы до 100MPPS.

Если есть желание протестировать кто в лоб готов выдержать или нет 8MPPS то, можем организовать, согласовать тесты. Все основные игроки рынка известны.

тогда что там тестироваться будет? такой флуд дропается без ограничений