На сколько актуальна защита от DDoS ?

Нет такой практики. Гляньте хоть арборовскую статистику чтоли: digitalattackmap.com

Опять цифра с потолка.

Ну вот давайте прикинем себестоимость содержания каналов хотя бы на 50-100 гигабит. Речь идет о России. Вы можете озвучить конкретный ценник? Я уже озвучивал.

И как-то по этим данным РФ не особо атакуется. Ага :) Да лично ко мне атаки прилетают через день. Думаю, количество одновременных атак в РФ исчисляется сотнями. Да и далеко не все пользуются арборами для защиты.

Тут лично я бы подумал вот в каком направлении. Немало клиентов в РФ нацелены строго на аудиторию из РФ. Ну, ещё может из СНГ. А большинство ботнетов, как я понимаю - за пределами РФ.

Так нельзя ли попросту ограничить весь этот китай и т.д. и т.п., чтобы он вообще не долетал? Ну самое первое, что приходит в голову (не потому, что это хорошее решение, а потому, что оно известно) - в CloudFlare отрезать все страны, кроме нужных. Сколько там это их "Enterprise" решение стоит? Ну пусть 2000 баксов в месяц. Уже немного меньше, чем 15 лимонов, не так ли?

А наверняка на CF свет клином не сошелся, есть и другие варианты отрезать страны на подлете. Кстати: а какие?

Давайте сначала разберемся, каким может быть ддос в 100 гигабит, а потом будем думать о ценниках, каналах, ок?

100 гигабит - это во-первых через амплификаторы (днс серверы и т.д.), они находятся на разных площадках по всему миру и от них к вам и пойдет трафик. Зачем весь этот трафик гнать в Россию? Да и как, оно ж перегрузит половину роутеров и каналов по пути в Россию. Это все равно нужно фильтровать через кого-то зарубежом с крупной сетью.

Дальше какая-то часть трафика пойдет и по России, по-тупому можно так же принимать его через тех же зарубежом, но если хочется оставить хороший пинг клиентам во время атаки, то его придется принимать в России, но это уже не 100 и не 50 гигабит. Да и нужен он только игровым серверам.

Теперь о железках, нужны ли они для такого тупого трафика? Клаудфлейр и без специальных железок обходится с таким тупым трафиком, прямо на джуниперах фильтрует, если помните.

---------- Post added 21-11-2013 at 21:11 ----------

Jackyk, да в этом и суть, забугорный трафик не нужно гнать в Россию и скорее всего вообще не получится.

В основном ботнеты в РФ и других странах с высокими скоростями.

Азия на Европу и РФ имеет тухлый коннект, нравится как всегда говорят китайцы, хотя в основном я видел по траффику РФ, Румынию, Эстонию, Латвию, Литву и США (да-да, США).

Азиаты давно уже отошли на второй план.

zzzit вы очень красиво говорите. Но как вы предлагаете ограничивать трафик на вход из проблемных стран? Договариваться со всеми входящими пирами? Я как-то плохо себе это представляю. Следовательно, придется резать у себя, а значит нужны толстые каналы. Возвращаемся к конским ценам.

И еще, лично ко мне легко прилетали ДДоСы по 30 гигабит. Из России. Что с ними делать? Опять же, нужны каналы и оборудование.

Нет, такое не предлагал, а предлагал грубо такое: роутить атакуемый IP через кого-то, у кого большая сеть на всю планету и умеют фильтровать атаки. Другого выбора как бы и нет. Гнать раз в месяц огромный трафик в одну точку слишком дорого и слишком глупо.

Кстати, можете уточнить ради юмора у ваших аплинков, могут ли они дать 100 гигабит входящего, а лучше сразу 200 :D

Ну, сейчас могут 30. Я как бы тут прицениваюсь.

Как насчет того, чтобы работать с уже имеющейся структурой? Например - Voxility. Самому с нуля создать то же самое - сверхзадача. Но можно репу чесать годами, а можно завязаться с теми, кто ее уже решил, и предоставить своим российским клиентам РЕШЕНИЕ. Пока лично я тут видел одно предложение, да и то из Молдавии да по конским ценам.