Борьба с UDP досами и определение цели

там сейчас не такой лимит, я работал с ними более года назад так что если интересуют цифры то лучше у них спросить.

дело в том что если не блэкхолить атакуемый ip то могут страдать другие клиенты по стойке и кто то же должен оплачивать трафик...

чаще всего лимиты как раз равны пределу возможностей сетевой карты и порта тоесть если не блокировать то сервер все равно будет недоступен.

В 30kpps на дешевенький сервер нет ничего смешного.

Ну так поставьте сервер к нему, в чем проблема.

Решение такое.

1) Сделать у сервера несколько IP

2) Атакуемый сайт повесить на дополнительный IP сервера.

3) Договорится с датацентром, что бы он полностью блокировал UDP трафик, идущий на IP атакуемого сайта.

Проблема здесь найти ДЦ, который согласится блокировать весь UDP трафик, а TCP пропускать.

ДЦ ведь придется его весь принять через свой канал.

Обзванивал несколько Московских ДЦ, которые согласились бы блокировать UDP и пропускать TCP, но так и не нашел кто бы согласился.

а хостер с радостью примет прилетевшие 30-50Гбит\сек? 🤪

из дешевых вариантов - либо спец. сервисы (прокси\vpn), либо такие ДЦ как OVH, где проблема с UDP уже продумана хорошо, т.е. в т.ч. в плане автоматизации

на практике это будет очень дорогое решение, но реализовав которое, можно уже смело самому предлагать решения по защите от атак

zexis, Примерно так и боремся, присваиваем/меняем IP туда сюда вычисляя кого атакуют, самая большая проблема что невозможно сразу определить какой сайт атакуют.

Если Вы уже обзванивали кучу ДЦ, то нам можно и не пытаться.

seocore, OVH к сожалению сейчас в каком то замороженом состоянии, трудно у них что-то там заказать, всё распродано)

Dimanych, а сколько вообще сайтов на сервере?

Вы извините конечно, но кому это нужно? У вас допустим сервер за 150$ в месяц, а в него 3 GB/s UDP трафика валит с утра до вечера.... это даже не смешно уже.... оплатите ваш UDP - любой заблокирует.... Хотим как обычно и рыбу и лодку :D

---------- Добавлено 05.11.2013 в 03:01 ----------

То есть как это??? ;)

Странно, а вот в Лмиве есть ДЦ, который блокирует и не дорого берет

Хотя проще юзать антидос сервисы

Romka_Kharkov,

Ну при создании темы я сразу описал эту проблему, мне ещё ни разу не удавалось определить какой сайт атакуют при udp досе. Вот на сервере 1000 сайтов, даже если поделить их на 10 IP, то по атаке на IP можно определить только сотку сайтов в которой находится цель атаки.

Вот так и живём ))

Так в том то и вопрос, с чего вы взяли что атакуют сайт? :) Атаковать вообще-то могут и конкретный ИП... :)

На стороне провайдера можно снимать sflow , если в моменты атаки сервер вообще недоступен, а если доступен то коллектор может быть и на стороне сервера, там четко будет понятно на какой ИП идет атака... а какой из сайтов становится причиной атаки..... можно и не узнать никогда , если атака как я писал выше идет на ИП.