Опыт работы с ddos-guard

1 234
H
На сайте с 12.09.2015
Offline
17
#21
smart2web:
Кем проверено? Вы владелц рутрекера, что располагаете такими данными?

🍿 hackforums dot ru новости ☝

ps mail.ru подкупные

pupseg
На сайте с 14.05.2010
Offline
364
#22

а почему не пользуются qrator.net ?

или как всегда хотят антиддос за 20 баксов ?

антиддос - это очень дорогая услуга, зачастую в десятки раз превосходящая стоимость текущих хостинговых услуг.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
Ivan Lungov
На сайте с 24.04.2013
Offline
222
#23
sladkydze:
Да уж, я помню эти 2 недели Из-за вашего подключения к Гуарду у всех клиентов Гуарда 2 недели так штормило, что 50% клиентов разбежалось в ужасе.
Гуард до последнего не признавался из-за чего проблемы и валил все на клиентов. Типа сами идиоты...

Печально.

Сорри, Олег, мы не знали что наш трафик окажется чрезмерной для них нагрузкой ). За неделю работы через них, мы словили 4 серьезных даунтайма с разрывом BGP-сессий.

AGHost:
smart2web, проверенная информация или 40G это их данные?

Мы ловили на себя до 56 Гбит, вроде бы по статистике они не обманывают.

На самом деле, ситуация с анти-ддосом в России весьма печальная. Мы за этот месяц перепробовали кучу вариантов, провели массу переговоров с различными компаниями. В итоге, ни одна из компаний в России оказалась не способна взять целый ДЦ под полную защиту. Большинство отечественных решений рассчитаны на защиту сайтов или других конкретных ресурсов (как правило TCP, UDP гораздо реже). Но это не совсем то, что мы хотели бы получить для нашего ДЦ, по этому приходится работать над собственным решением.

Может быть, мы кого и упустили из российских компаний, если есть у кого информация, буду признателен, если поделитесь.

IHOR Хостинг (https://www.ihor.hosting/) Наша ветка на серчах (/ru/forum/1015084)
LF
На сайте с 13.08.2015
Offline
65
#24
pupseg:
а почему не пользуются qrator.net ?
или как всегда хотят антиддос за 20 баксов ?
антиддос - это очень дорогая услуга, зачастую в десятки раз превосходящая стоимость текущих хостинговых услуг.

qrator по факту лучше, чем ddos-guard, но совсем не на много. За то существенно дороже (в несколько раз) Случаются те же самые обрывы соединений, большой пинг и рандомная недоступность. Но, надо признать, они хорошо умеют надувать щеки.

Бурж варианты:

Voxility - самому использовать не приходилось, но друзья рекомендовали (бюджет от 2к евро\мес)

Level3 - тут все по-взрослому, но разговаривать начнут при стоимости контракта хотя бы в 10к $ в месяц. Для не говорящих - у них есть русский сейлз.

---------- Добавлено 21.04.2016 в 00:23 ----------

Ivan Lungov:

Может быть, мы кого и упустили из российских компаний, если есть у кого информация, буду признателен, если поделитесь.

На сколько я знаю, у Ростелекома есть свой арбор, но что-то у меня сомнения, по поводу их вменяемости в отношении ДДоС защиты. Все таки лечения от этой заразы универсального нет и простой коробкой, пусть и с облачной связью тут не отделаться.

Ivan Lungov
На сайте с 24.04.2013
Offline
222
#25
lsw_fan:
Voxility - самому использовать не приходилось, но друзья рекомендовали (бюджет от 2к евро\мес)
Level3 - тут все по-взрослому, но разговаривать начнут при стоимости контракта хотя бы в 10к $ в месяц. Для не говорящих - у них есть русский сейлз.

Ценник в 10к$ не особо пугает, проблема в том, что центры очистки находятся не в Москве, а гонять трафик через заграницу, как-то не комильфо.

leonid239
На сайте с 04.10.2011
Offline
132
#26
lsw_fan:
На сколько я знаю, у Ростелекома есть свой арбор, но что-то у меня сомнения, по поводу их вменяемости в отношении ДДоС защиты. Все таки лечения от этой заразы универсального нет и простой коробкой, пусть и с облачной связью тут не отделаться.

Вроде как IHOR как раз к защите от Рослетекома и подключились.

Поиск VPS (https://poiskvps.ru) - сайт для поиска виртуальных серверов
LF
На сайте с 13.08.2015
Offline
65
#27
Ivan Lungov:
Ценник в 10к$ не особо пугает, проблема в том, что центры очистки находятся не в Москве, а гонять трафик через заграницу, как-то не комильфо.

Я не провайдер, но могу предположить следующее, что можно на базе netflow данных написать сенсор, который будет, по определенным критериям дергать ваш маршрутизатор и через community управлять анонсом нужной /24, т.е в случае атаки переключать анонс на ASN центра очистки.

В любом случае, "гонять трафик через заграницу", это касается только получения входящего трафика.

А пропускать весь свой входящий трафик всегда через ддос защиту , как мне кажется, не самая лучшая идея.

Ivan Lungov
На сайте с 24.04.2013
Offline
222
#28
leonid239:
Вроде как IHOR как раз к защите от Рослетекома и подключились.

Так и есть, но для нас это тоже не панацея, ротелековцы, тоже слегка очкуют от нашего трафика %). По SLA могут прогарантировать доступность только 80%. По этому, рассматриваем РТ только как промежуточный этап.

leonid239
На сайте с 04.10.2011
Offline
132
#29
Ivan Lungov:
Так и есть, но для нас это тоже не панацея, ротелековцы, тоже слегка очкуют от нашего трафика %). По SLA могут прогарантировать доступность только 80%. По этому, рассматриваем РТ только как промежуточный этап.

80% по SLA это как-то уж очень мало. Из 365 дней в году они могут не работать 73 дня... Не очень впечатляет.

Ivan Lungov
На сайте с 24.04.2013
Offline
222
#30
lsw_fan:
В любом случае, "гонять трафик через заграницу", это касается только получения входящего трафика.

К сожалению, при асимметричной передаче трафика, возникает куча проблем с анти-ддосами, у нас такое было, когда входящий шел через анти-ддос, а исходящий на прямую.

В этом случае, антиддос не видит сессии, на основе которой как правило принимается решение о легитимности пакета.

lsw_fan:
А пропускать весь свой входящий трафик всегда через ддос защиту , как мне кажется, не самая лучшая идея.

Согласен, из-за этого и была целая куча проблема у нас с ддос-гвардами, когда весь наш трафик ходил через их центр очистки.

lsw_fan:
Я не провайдер, но могу предположить следующее, что можно на базе netflow данных написать сенсор, который будет, по определенным критериям дергать ваш маршрутизатор и через community управлять анонсом нужной /24, т.е в случае атаки переключать анонс на ASN центра очистки.

Представляете, как обрадуются соседи по сети атакуемого сервера, особенно если это будут геймеры, у которых вдруг пинг побежит через заграницу. По нормальному, переключение айпишника под защиту должно происходить по маске /32. Мало кто из операторов готов принимать префиксами /32 (точнее, вообще никто).

---------- Добавлено 21.04.2016 в 03:04 ----------

leonid239:
80% по SLA это как-то уж очень мало. Из 365 дней в году они могут не работать 73 дня... Не очень впечатляет.

Ну это и есть показатель того, насколько РТ уверен в своих силах. На текущем этапе, они неплохо справляются с атаками, что будет дальше, посмотрим. Надеюсь, что месяц-два и мы запустим свой центр очистки.

1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий