Борьба с UDP досами и определение цели

Dimanych, вы просто не понимаете как работает blackhole на стороне провайдера....

Когда ваш IP помещают в BlackHole это означает что во всем мире пропадают анонсы данного ИП в глобальном смысле маршрутизации и атакующая точка просто на просто теряет свою цель.... при этом естественно ни откуда не попасть на ваш сайт и если быть предельно точным, то вашего ИП не существует в глобальном списке маршрутизации....... по этому этот метод работает на все 100% и атака прекращается моментально... Если же говорить о борьбе методом самого сервера, тут вам четко все пояснили, если атака > чем ширина вашего канала.... вариантов нет.... разве что договариваться с Upstream провайдером о фильтрации данного трафика, но это увы не бывает бесплатно и зачастую может обходиться в десятки раз дороже чем стоимость атакуемой точки :) Такие вот дела :D Либо можно попробовать попросить того же Upstream вообще зарезать UDP на ваш сервер, если он у вас не используется.....

В общем этот blackhole на стороне сервера ничего не даст, так как сервер не является маршрутизатором и маршрут до сервера уже определен, верно?

Так как же все борятся с этой атакой? Меняют IP постоянно или просто ждут окончания атаки? :)

Банют на аплинках

Совершенно верно.

Есть два прямых варианта и один запасной:

1. Ждать пока атака закончится.

2. Фильтровать атаку на уровень выше. (Как и писал ранее, зачастую суммы не соизмеримы)

3. Попробовать воспользоваться более дешевыми сервисами которые будут прятать ваш реальный IP за своим и тоже фильтровать.... возможно будет чуть дешевле чем п.2 но все равно надо будет платить $$$ если вы хотите "работать под атакой".

А если взять сервер с полосой 10гбит, например такой:

http://www.leaseweb.com/en/dedicated-servers/10-gbps-servers/configurator/7399

Будет ли он работать нормально если атака будет к примеру 5гбит или всё равно сеть просядет от кол-ва пакетов?

Его ведь можно будет использовать как прокси на те случаи когда начнётся атака...

То примерно за 4.7 суток вы накачаете 250Tбайт и вас отключат. И это только видимый в тарифном плане порог. Что там в реальности происходит и как они реагируют на очевидные перегрузки оборудования ddos-ом, я не знаю.

брать такие сервера для решения вашей задачи - большая ошибка.

при аномальном количестве pps сработает триггер и вас отключат.

прочитайте их оферту там вообще если не ошибаюсь 30kpps был порог, для 10гбит серверов должен быть выше но это не спасет.

Всем спасибо за информацию.

На счёт 4.7 дня, с такими досами я пока не встречался, самый долгий был 2 полных дня и около 3гбит/с.

Полностью поддерживаю отписавшихся выше.... там где написано 10 GB/s вовсе не означает что вам дадут держать там ресурс "под атакой", так как 10 GB/s это полоса включения.... а реальный трафик это реальные деньги .... провайдеру все равно куда включить вас в 10/100/1000 или 10000 .... это мелкие и разовые затраты , а вот пропустить к вам 10 GB/s трафика.... )))) или 100 mpps :))) Это совсем другое дело. Так что такие решения - не есть решениями для вас.... Хотя изначально не ясно какая атака к вам приходит... возможно если там около 1 Gb/s ... то все может и случится... но в любом случае:

1. Обсудить это предварительно с хостером.

2. Понимать какой мощности текущая атака и это обсуждать с хостером.

3. Внимательно изучить оферту, а именно правила расторжения договора, там наверняка указаны какие-то лимиты....

А на счёт превышения 30kpps, в чём собственно проблема, неужели железо не справляется? Общался с одни владельцем ДЦ, и как то он рассмеялся когда я сказал что сервер заблокировали при 200kpps, якобы сотни тысяч это вообще не нагрузка. Вот теперь у меня двоякое мнение ... )

Цены у него правда от 10тыс руб на сервер.