вопрос по antiddos-решениям

Добрый вечер, коллеги!

кто сталкивался с подобным выбором, дайте совет.

Известно,что правильный антиддос-сервис стоит от 300$ до безкончности в месяц.

Цифры, которые чаще всего встречаются - это 400-500$.

ДДоСы которые чаще всего встречаются - это различного рода udp-flood, POST в вебморду, POST в порт других служб. Да да, я не опечатался, третьи сутки уже банится вот такое школоло:

Apr  1 11:58:24 host postfix/smtpd[3084]: warning: non-SMTP command from unknown[178.215.104.77]: POST / HTTP/1.0
Apr  1 11:58:24 host postfix/smtpd[3072]: warning: non-SMTP command from bba67671.alshamil.net.ae[217.164.107.107]: POST / HTTP/1.0
Apr  1 11:58:24 host postfix/smtpd[4287]: warning: non-SMTP command from aakx232.neoplus.adsl.tpnet.pl[83.5.27.232]: POST / HTTP/1.0
Apr  1 11:58:25 host postfix/smtpd[3599]: warning: non-SMTP command from unknown[79.115.135.180]: POST / HTTP/1.0
Apr  1 11:58:25 host postfix/smtpd[3072]: warning: non-SMTP command from unknown[41.143.3.92]: POST / HTTP/1.0

для тех, кому за... это лог почтового сервера, в который почему то (??!!) идет http (о_О!!!) в виде POST-запроса в 25 порт (0_о о_0)

не знаю, какой образованности ддосер, наверное класс 9ый, а то мог бы чтото поинререснее слать мне в smtp, но отдать должное, дует 20-30мбит мне в порт, уважаю, зачотный ботнет :) .

Не секрет так же - что до 40-70мбит и, в некоторых случаях - до 200мбит, можно без проблем банить спакойненько софтверным путем на павильном ксеоне, с правильным объемом памяти и правильной сетевой картой на 1гбит аплинка при условии не гениальной по реализации атаке (тормозящие ресурсы от общей нагрузки на сервер приймем за норму, лучше иногда работать стабильно медленно чем не работать вовсе).

Так же мы исключаем уникальные атаки, как то ддосы 500-600мбит, 1гбит и выше udp и прочие серъезные интеллектуальные кастомные вещи, реализованные на заказ.

Целесообразно ли иметь свою группу серверов для отражения подобного рода несложных атак (серверы себестоимостью в 300-700$ за несколько штук), или же все таки примерно на эту же сумму пользоваться услугами антиддосеров?

очевидные плюсы своих сил:

1. от школоло-атак можно защищать не только себя, но и отбивать аренду машин еще и с атакуемых клиентов.

2. несравнимая конфигурабельность.

3. гибкость настройки инфраструктуры.

4. вынесенные на сторону серверы-фильтры лягут - лягут и атакуемые веб-сайты (в случае тупого проксирования), но не ляжет веб-группа серверов с клиентами, прикрываемая этими фильтрами.

очевидные минусы:

1. поддержка всего этого безобразия.

2. человеко-часы на настройку по уму.

Вопрос: кто как решает ? сразу при более менее сложной атаке шлет к антиддосерам? Пытается ли тратить свое время и свои усилия в сомнительных попытках отбить, превосходящую, скажем мозгами, тупую флудежку? сажает клиента на свое собственное, несомненно лучшее решение? :)

Причина вопроса: продолжать ли заниматься ерундой - фильтруя,тюня ядро и прочее и другие глубины tcp\ip на клиентских серверах, или же сразу слать к сервисам, которые в общем итоге по деньгам выходят столько же, ну или чутка дороже чем нормальный, качественный антиддос-сервис.

PS: мы опустим из обсуждения детские атаки , брутфорс и прочее, с которыми справится без проблем fail2ban из коробки , или парсер логов nginx , а так же нищебродов-клиентов, получивших ддос в свой дешманский впс о 256Мбайтах памяти,тщетно молящих администратора "отбить эти 150Мбит udp, ведь-уже-были-атаки-и-старый-админ-справлялся-я-я-я!" и как только слышащих о прайсах за сервисы антиддос - обвиняющих администраторов в некомпетентности.

PPS: вот уже который день все успешно отбивается, но за потоком этого трафика нужно следить и мониторить динамику атаки... не проще ли некоторым клиентам предложить поднять бюджет на какие-нибудь 50$ , и пусть идут в сервис, где с ними будут уже возиться?...