А у него канал > 300 Gb/s ?:)
Давайте разберемся в термине "зафильтруют", если я все правильно помню то deny ip from x.x.x.x to any не снимает напряжения с коммутатора, его по прежнему долбит тот же поток , только он не доходит глубже в иерархию сети, по этому "зафильтруют по гео" мне не совсем понятно, вот возьмем например какую-то точку отказа, например бордер вашего апстрима.... в него заходит 300 Gb/s как вы сказали (черт меня побери, что я говорю... :D ) к примеру, как же его можно отфильтровать и что это даст? ну залочили вы трафик, не проходит он дальше в сеть внутрь и че ? DDOS останавливается что ли ? Нет он будет долбить по вашему анонсу .... пока ваш блок будет анонсироваться, соответственно входящие 300Gb/s остануться на внешнем интерфейсе вашего апстрима (его бордера) ..... да, этот трафик не попадет внурь апстрима и не дойдет к вам но так же не дойдет и другой трафик на апстрима так как входящий канал слегка занят :) Или я че-то не так понимаю?:)
Ну так это говорит о том, что ваш Апстрим не готов работать с ддосом, так что ли ? По тому , что у меня проблем с досами не возникает в плане сотрудничества с моими апстримами. В большинстве случаев апстримам даже выгодно когда вас плавят, потому , что вы платите за эту полосу.... Но в случае когда умирает сам апстрим из за этого - впервые слышу..... Вы представляете себе, что будет если например L3 перестанет работать, пол интернета погрузиться в каменный век как минимум :)
Резюмируя данную тему, я понимаю, что если китайцы отправят по 10 кб каждый в сторону России то у последней 2 недели не будет выхода за рубеж?:)
А вот я всего 10G включен в апстрима... и думаю так же остальные 90%.... как же фильтровать это автоматом. ? :)
По моему пора вносить CVE В BGP протокол :D Надо разрешить любой AS возможность не анонсировать себя выбранным AS :)
Ну а какие вы видите варианты ? Вот давайте рассматривать ситуацию в вакууме, вы сейчас говорите что будут заняты входящие каналы моих апстримов ? Вы согласны с тем, что повлиять на это со стороны конечного клиента я не смогу? Думаю согласны.... Если повлиять на эту ситуацию не может даже мой апстрим (Level3 , HE) то какой же у меня остается выбор? Вы видите какие-то решения на стороне клиента когда каналы забиты у апстрима? Апстрим он на то и апстрим что бы вместе со мной разобраться в этом ДОСЕ и зафильтровать его повыше и потуже. С такими объемами как вы тут называете не сталкивался, но 10Gb/s отлавливали, в данном случае я даже SSH на бордер свой не мог попасть пока мне апстрим не освободил канал чуток, не то, что бы там что-то еще посчитать..... На моей практике вышло так, позвонил в L3, выдали техника, в MSN с ним начали смотреть, нашли несколько сетей с которых валит дос... причем так не кислых /15 /14 и по моей просьбе их залочили в мою сторону где-то выше у апстрима. Все, ДДОС ко мне закончился.
С более мелкими досами или даже сказать нападениями есть тенденция бороться или блекхолами, или подменять DNS на 127.0.0.1 (конечно в случае нападения на сайты конкретные) в сторону нападающего. Но тут разговоры даже не про 1 Gb/s а меньше.
Согласен тут с вами полностью. Вопрос лишь в том. зачем говорить 300 gb/s если там реально пусть 50.... или что, нынче невозможность незаметно залочить 50Gb/s это падение лицом в грязь? :) IMHO такими мощностями как я уже писал выше обладают единицы ДЦ, не то что бы сотни !!! Я например единолично на собственном оборудовании и каналах смогу незаметно потерять .... ну 5 Gb/s это максимум наверное ..... Дальше я буду алекать апстримам ... вариантов больше не будет если весь ВХОД будет забит....
День добрый,
Мы продолжаем оказывать для клиентов качественные услуги хостинга.
Давненько в нашей теме не было разговоров, решил поинтересоваться у комьюнити, может кто-то спустя год нашего прибывания на SE все таки затестит наш хостинг публично? Во всяких программах со скриптами участвовать мы не хотим, хотелось бы рациональную проверку ощутить, путем размещения действующих сайтов , порталов.
Есть ли желающие получить хостинг сроком на 3 месяца "за отзыв в данной теме"? Но не так как это принято в массах, отзыв может быть любой, как положительный так и отрицательный, мы гарантируем работу вашего сайта в течении 3х месяцев не зависимо от того понравится вам или нет. Данная акция создана все с той же целью - повышение отдачи от хостинга клиенту.
Единственное, что мы будем требовать, это обоснованного отзыва, развернутого и полного, но опять же с целью поиска и устранения в последствии изъянов в работе нашего сервиса.
Если вас заинтересовало данное предложение, пишите тут в теме или в ПМ лично.
С Уважением,
Готовы уступить тариф за $20.00/ месяц.
Я уже нашел решение для ТС-а, ввиду отсутствия знаний про ДНС у ТС, он сильно долго пытался пояснить что же надо, для тех кто был заинтересован в двух словах напишу в чем загвоздка, есть у ТС-а два ДНС сервера нс1 и нс2, а так же у ТС-а есть куча доменов Х зарегистрированных где-то, но беда в том, что ТС не обладает полным списком всех доменов которые будут ссылаться на его ДНС, а все домены которые ссылаются на него .... должны показывать на 1 ИП, вот тут родилось слово Шаблон, т.е ТС хотел что бы все ответы ДНС сервер формировал относительного 1го ИП (веб сервера, в частности IN A запись), т.е если пришел запрос на домен который не прописан в ДНС-е у ТС, надо все равно дать ответ.... стандартными средствами такое решение я нашел, но выглядит оно конечно не продакшоном, реализовали так:
Предложил тс-у создать TLD зоны у себя в ДНС с вилкардами внутри.... т.е если сейчас запросить у ДНС серверов ТС-а любойдомен.ком или любойдомен.ру вы получите ответ в виде нужного ТС-у ИП адреса. А у него соответственно добавлена зона .RU и в ней запись *.RU -> x.x.x.x (аналогично со всеми TLD).. ;) За это я даже был назван гением ! :) Но судя по всему задача ТС-а решилась в полном объеме :)
