Что делать с ддос атаками более гигабита.

Я бы для начала попробовал с CF очень простую весчь.

Сделал бы настройки защиты самыми минимальными (то есть максимально приблизился бы к варианту использования CF просто как DNS, чтобы их не сильно грузить, но все же трафик пустил бы через него), после чего пошел бы там в настройки и повырубал к буям весь китай и прочее.

Плюс к тому подобная мера позволит спрятать реальный IP, вообще.

Поскольку, повторюсь, тут речь о том, чтобы почти не пользоваться их защитой, есть вероятность, что даже под атакой они не выключат проксирование. Просто будут кетаю статику показывать типа "Sorry, fuck off".

А зачем его весь принимать в одно место? Решение в лоб?

Можно принимать аникастом, можно и подешевле, распределяя с помощью DNS на много точек с DNS фейловером между ними. На них же и фильтровать. Практически любой трафик так можно потянуть, естественно, если не узнают где бэкенд и даже в каком ДЦ. А то могут и весь ДЦ с бэкендом положить.

zexis обращайтесь в ЛС, помогу отфильтровать с помощью своих днс

Вбейте в гугле, запрос "cloudflare отключился ddos" или что-то аналогичное. Они отключают

на бесплатном тарифе, ну это понятно, само собой

на тарифе за 20$ - аналогично бесплатному, сразу, как ддос пошел

на тарифе за 200$ - если ддос сильный

на тарифе за 3000$ - фильтруют все, антиддос качественный и я никогда не слышал плохих отзывов

достаточно вспомнить атаку 300ГБ, которую отразил клаудфлейр в этом году

---------- Добавлено 12.11.2013 в 19:42 ----------

Топикстартеру советую просто поискать честный сервер с честными 1гб/с в честном датацентре

не хочу давать линки, чтобы не сочли за рекламу

например, вот тут предлагали /ru/forum/822803 но там безлимитка, тс вполне хватит те же 20ТБ трафа, к примеру

и еще. я не хочу, чтобы я здесь выглядел заинтересованным лицом, мне все равно

я просто пытаюсь доказать, что отражать ддос атаки 1гб/с реально благодаря широкому каналу + филтрованию + отключению того же udp, если идет ддос

и канал такой найти реально за вполне смешные деньги, но только в европе, а неу нас

и не мучаться в датацентрах, которые сразу нулят ip

вот и все

pek01, я сколько выкриков про отключившуюся защиту не читал, всегда или с третих рук пересказано или от секьюрити "экспертов", которые сами торгуют защитой.

http://www.google.ru/search?hl=ru&source=hp&biw=&bih=&q=CloudFlare+has+been+temporarily+deactivated+for+this+site+due+to+a+large+attack

но там часть от тех, кто на бесплатных тарифах или на 20/месяц

в общем, это не тема этого топа

Ну и? Все темы о том, что много http трафика через клаудфлейр гнали на бесплатных тарифах. Найдите хоть одну, где за UDP флуд выгнали с бесплатного тарифа.

Romka_Kharkov, конечно если знают ip бекенда то кроме выключения ip из маршрутизации ниче не сделать. но не все ж таких умные, да и технология подмены на днс не так распространена, чтоб каждый школодосер все это проверял перед началом работы.

встречался с ддосами, когда было 2 фронтенда и раунд робин балансировка, ддосили один внешний ip недели 2, периодически увеличивая мощность, а сайт все равно был доступен на 50% :D

Понимаете ли ... технологии на столько шагнули вперед, что любому ....... достаточно посетить сайт host-tracker или ping-admin там вбить желаемый домен и получить 20 разных ответов с 20 разных IP адресов (если столько будет в этом маскараде :D) как раз таки по региональным признакам :D В общем я думаю что такая "мега анти-ддосилка" на второй раз перестанет работать и будет учтена в будущем. Но верно замечено выше, какой-то % она может погасить - спору нет :)

На картинке показано какие ИП отвечают каким "зонам"... ;))) Даже из Москвы ... google.ca видно по разному :D

При проверке из 84х точек (ping-admin) получено 51 уникальных адресов .... ;))) Список приводить не буду, думаю дальше все понятно ? :) Если подойти к вопросу более детально то будет лежать все и столько сколько надо.... :)))) Если конечно каналами не перебить... ) Кое где уже даже ipv6 ответило :D

А есть вообще какой-либо приемлемый вариант спрятать IP, кроме использования CloudFlare?