1. Атаки на L3-4 уровнях. На сеть. Самый простой и дешевый вариант. Многие срессеры даже бесплатно предоставляют возможность атаковать сеть. Правда сейчас мало действенный, так как многие хостинг-провайдеры защищают свою сеть от базовых DDoS-атак. Но есть ряд атак, которые доставят неприятности даже защищенной сети. Как следствие, если хостинг-провайдер не обладает защитой сети или атака сложна, то вероятно услуга будет заблокирована и придется менять IP-адрес.
2. Атака на L7 уровне, через IP-адрес, в обход любой защиты. Нацелена восновном на перегрузку ресурсов сервера. Но при большом ботнете, может также утилизировать канал. Если ботнет небольшой, то поможет закрытие любого трафика на 80/443 порты, кроме IP-адресов провайдера защиты. Но, всё же, если ботнет большой и будет утилизировать канал, то и это не поможет.
Тут больше зависит от цели атакующих. От проекта который атакуют. Если побаловаться, то вряд ли кто-то будет сильно заморачиваться. Если же намерения атакующих серьезные, то проблемы с компрометированным IP-адресом точно будут.
Вы как "лидеры рынка защиты от ддос", из одной из прибалтик, с нулевой отчетностью на юрлице на последние 5 лет, о которых никто не знает в Рунете, с дорвеем из начала 2000-х, - это да, как раз те самые люди, кто имеет полное право оскорблять других участников и даже ставить под сомнение их компетентность, причем в той узкой нише, которой они занимаются 🤣Корону привязывать надо, а то упадет. Конфуз будет.
Вопрос не в том, кто, когда и какими проектами занимался. А в том, кто каким опытом и компетенциями обладает. Я поставил ваши выводы под сомнения, достаточно аргументированно. Показал, что ваши советы могут быть вредны при определенных сценариях. Вы вместо того, что бы по-взрослому согласиться, видимо обиделись на замечание и продолжили уже в чуть более хамской манере раздавать вредные советы. Ну либо не понимаете, что делаете не так. Что вполне возможно исходя из ваших общих когнитивных способностей. Раз Вы лично для себя, на основании информации 10 летней давности делаете какие-либо выводы о текущем опыте людей. Вобщем не обижайся. Просто "за державу обидно" (с). Такие ваши советы ни к чему хорошему людей не приведут.
Если недостаточно моей компетенции по данному вопросу, достаточно подключиться к любому поставщику защиты от DDoS или обратиться к их документации. Везде одним из важных факторов обеспечения защиты будет скрытие целевого IP-адреса. А его раскрытие приведет к неприятным последствиям.
Кажется вы забываете о том, что по айпи редко кто ддосит. Ну вернее, невозможно забыть то, чего не знаешь. А на хостинге, если это впс, можно в настройках сетевого экрана поставить блок всех айпи за исключением айпи клауда. Либо можно в рамках своего тарифа шаред заменить айпишник, купить другой у хостера, после включения проксирования. Короче, много чего можно.
Так вот, сообщаю вам - не парьтесь (из практики, а не ББС). Тем более, если вся ваша настройка клауда будет состоять из нажатия на кнопочку Under Attack, или честно скомунизженного с VC (c mailru в первом правиле, а судя по вопросам вы новичок и так оно и будет) - вам все равно ничего не поможет при ддосе.
Видимо редко атакуют по IP только в вашем мире, когда Вы просто не видите атак на сетевом уровне, используя в своей работе только CloudFlare.
Я не сказал, что скомпрометированный фактический IP-адрес нерешаемая проблема. Я сказал, что это потребует значительно бОльших действий, чем один клик в CloudFlare. Это Вы пытаетесь ввести людей в заблуждение, что их в любой ситуации спасет какая-то волшебная кнопка просирования CloudFlare.
Если не париться Вы советуете именно мне, то совершенно не понятно из чего сделаны выводы о моей компетенции в защите от DDoS и целом опыте.
Если Вы обращаетесь ко всем участникам беседы и так обобщаете, то также всем участникам сообщества подсвечиваю, что Вы не компетентны и имеете слабый опыт в этих вопросах. А советы и "учения" могут оказаться очень вредными и принесут проблемы.
Чтобы был нормальный ДНС сервер, а не та шляпа, что у вашего хостинга по дефолту идет. Когда при необходимости любой правки в ДНС нужно ждать около часа, чтобы она синхронизировалась. Хостинг не онлайн их обновляет (как клауд, нажали, досчитали до 5 - готово), а допустим раз в 1 час или больше, зависит от того с какой ноги сисадмин встал когда настраивал. Итого вы допустим прописали новую TXT запись, хостинг сообщил запись обновлена. У него лично на его сервере. А вот синхронизация с внешним миром, если спросите у саппорта хостинга - получите отписку что скоро, максимум в течение 24 часов.Ну и да, если ДДОС, то если клауд настроен нормально, можно отбиться. Проксирование включается в 1 клик.Потеряете процентов 30 трафика (из-за блока на стороне РКН), а не 100% и слёт всех позиций (которые потом, возможно, так и не восстановятся).
Кажется Вы забываете о том, что если сайт будет работать без проксирования CloudFlare, то в открытом доступе будет фактический IP-адрес, который будет скомпрометирован. И вероятнее всего во время DDoS уже не поможет никакое проксирование Cloudflare, так как атаковать смогут напрямую. Ну либо каждый раз менять фактический IP-адрес, что уже не так просто как один клик в Cloudflare.
Да, всё верно. Именно такое поведение и описывается на профильных ресурсах.
так смена клиентского ипа то не мешала бы провайдеру и дальше блочить клиента. больше выглядит как антиддос стоящий у хостера, который по своей кривой логике банит ипы.
Конечно мешает. Паттерн за который наступает блокировка привязывается именно к IP.
Спасибо за обратную связь! Пока сервис планируется развивать только под РФ сегмент, но вполне вероятно в будущем добавим и другие ноды для проверок. Что касается времени ответа сервера - да, эта метрика уже собирается, но не выведена в бота. Добавили в бэклог.
Он может быть под РФ, но есть сайты которые делаются под бурж аудиторию и проверки было бы правильно делать оттуда.
Вы похоже traceroute делаете со своего VPN в hetzner. По этому и видите такое.
Очень интересный кейс. Из РФ действительно сайт недоступен. По поведению, похоже на блокировку РКН. Но в списках РКН домена нет, IP-адреса тоже нет. И другие сайты на этом IP-адресе и на NS beget открываются без проблем. Какой-то теневой блок?
Сделать функционал похожий на CF не большая проблема. Основная проблема в каналах с защитой от DDoS-атак на сетевом уровне. Стоят они достаточно дорого. Полностью бесплатного аналога не получится. Одно дело клиент, который потребляет 5Mbps легитимного трафика, другое дело клиент у которого 100Mbps. Слишком большие расходы будут на содержание. Как минимум стоит ожидать ограничения по трафику.
