L7filter

с начала декодируем протокол затем классифицируем трафик и прогоняем по 10к+ правилам и сигнатурам согласно с rfc описанием протокола и все это с жесткой привязкой к сессии будь то тсп или юдп или какой другой протокол, таким образом можно зажимать гайки целыми классами протоколов одним нажатием клавы или на автопилот поставить ) и все это в реальном масштабе времени с разрешением в одну секунду , все как на ладони , там при желании можно к еноту в жопу через спутник гугла заглянуть )

а как это делаете вы ? или нажал кнопку на циске вкл/выкл и счастлив?

---------- Добавлено 16.04.2015 в 03:43 ----------

но вот беда ... в сутки все таки чел 100-150 попадает в бан на общем фоне трафика а это где то одна на 150к сессий попадает в бан, но мы работаем над этим , но это в общемто не наша вина, иной раз браузер особенно инфицированный может такое выдать что ни на одно rfc не налазит )

вы даже сами того не подозревая можете быть участником бот нет сети а потом жалуетесь что вас не пускает то на один то на другой у других ip нормально работающих сайтов

---------- Добавлено 16.04.2015 в 03:54 ----------

у нас четырнадцати с половиной лямный порт на каждом узле кластера фильтров, можно размазать трафик по скажем двум-трем 10 гигабитных каналам да хоть десяти вот вам и 90-100 гигабит реального, по факту легального l7 трафика , да, да на 10 узлах можно реально обработать софтом не прибегая к тяжелой артилерии в виде cuda и никакого аникаста, все на чистом роутинге и баллансировке нагрузки

---------- Добавлено 16.04.2015 в 03:57 ----------

а если еще перед балансером и cdn сеть развернуть то вообще конфетка получится)

Это какой-то синонимайзер по антиддосу? А то что-то набор слов, такого не бывает. Сигнатура аномалий так даже насмешила :)

10к правил, кстати, не потянут даже 100 kpps.

Но вы не переживайте, ваша ovh защита нормальная, ее не школьники делали.

не спорю что нормальная но до четвертого слоя а дальше что ? серийно что они предлагают можно положить с трехсот ботов по http

---------- Добавлено 16.04.2015 в 04:43 ----------

вот недавно заехал сайт а за ним всего 1.5к "хитрых" ботов , на клауде сервак ложился за тридцать секунд)

И дальше нормально

насчет выражения сигнатура аномалий не понимаю что вас так повеселило, ведь аномалией можно считать хоть и ответ 403, в штатном режиме работы сайта не должно же быть таких ошибок не правда ли? наша задача как раз анализировать трафик в реальном времени и вносить соответсвующие изменения в drop/access правилах

Школьники такие школьники. Даже мой телефон от такого не ляжет.

вот гляньте в Attack subclass , ни слова о хттп протоколе не говоря уже о других да и просто поверьте мене на слово мы больше года там

https://atlas.arbor.net/asn/16276

Изучай мат часть, у аномалий не может быть сигнатур. Это противоположный подход. Аномалии подразумевают сбор статистики по легитимному трафику, а сигнатуры по ботовскому.

---------- Добавлено 16.04.2015 в 03:08 ----------

https://atlas.arbor.net/service/tcp/80

этот девайс к вашему сведению для таких задач не предназначен а предложить они могут по теме защиты на уровне приложений это Cisco ASA 5520(гигабитный порт и до 460 метров в сек филтр l7) за штуку с лишним евро

---------- Добавлено 16.04.2015 в 05:15 ----------

zzzit, а когда это мы перешли на ты?

---------- Добавлено 16.04.2015 в 05:18 ----------

для выявления аномалий применяются сигнатуры а сигнатурой может хоть и регулярное выражение которое примняется по отношнению к трафику хоть и простой поиск подстроки, но кому это я рассказываю... профессор

---------- Добавлено 16.04.2015 в 05:21 ----------

аномалией считается любое отклонение от стандарта rfc а так же здравого смысла

---------- Добавлено 16.04.2015 в 05:25 ----------

ох уж эта профессура)

У меня такое ощущение, что ты об аномалиях сегодня первый раз прочитал.

Каждый пост просто перлы выдаешь.

---------- Добавлено 16.04.2015 в 03:32 ----------