Похоже, hothat.ru = relevate.ru = ihc.ru. Если так, то это просто более дешёвый бренд одного из известных хостеров-среднячков и каких-то серьёзных подвохов не будет. Создавать лоукостеров сейчас тренд :)
Если вы про SYN-флуд, современный сервер с нормально настроенным/тюнингованным Linux и включёнными syn cookies спасёт в 90% случаев. Для более искушённых тоже есть решения, например, на базе netmap.
Мы фильтруем UDP-амплифай, имеем флоу спеки от нескольких апстримов, на остальных апстримах фильтруем по периметру собственной сети. Услуги колокейшен/дедикейтед представлены на http://servers.agava.ru
Хостеры, которые предлагают лицензионную копию серверной ОС Windows своим клиентам, работают по программе SPLA (помесячные отчёты, отправляемые дистрибутору Майкрософта, оплата также помесячно). Можно лицензировать одну копию ОС версии Windows Server Datacenter Edition (per socket) для хост-машины, в этом случае все виртуальные машины лицензировать отдельно не требуется.
Этот кто-то запустил тестовый SYN с использованием всего 3х серверов с гигабитным интерфейсом, дальше просто лень было, но ситуация линейно масштабируется, причём тестирующему горизонтально масштабировать стенд проще и дешевле, чем защищающему от DDoS :)
Если взять сервера с 10Gb интерфейсом и использовать фреймворк netmap, можно с одной машины генерировать овер 10млн пакетов в секунду, там защищающий от DDoS уже так просто не обойдётся парочкой машин с SYN-proxy.
Я это всё к чему, если вы не "выпендриваетесь", а вас, на самом деле, мучает вопрос, будет ли падать ресурс за ddos-guard'ом от атак школьников типа амплификации на 10-40Гб/с или под SYN'ами в 1-5 млн пакетов в секунду, ответ: нет, не будет. Но если вы как-то перейдёте дорогу "недобросовестным" конкурентам или кому-то просто _очень_ нужно будет положить ресурс, сложить любой массовый антиддос сервис никакой проблемы нет, просто это уже не такой массовый рынок и далеко не все, кто умеют это делать, этим занимаются.
И про "побочки", если вы будете на постоянной основе заворачивать весь трафик через ддосгвард, вы получите не очень хорошую связность с российским сегментом ("большой пинг"), а это волнует некоторых клиентов (если не сказать, что в этом случае, для обывателя этот российский впс перестаёт быть российским, поскольку сетевая доступность идентична западным впсам). Если не всё время, а по эвентам (во время атак) или только на западных стыках (откуда всегда прёт бОльшая часть мусорного трафика), то риск нестабильной работы вашей сети увеличится. Продумайте этот момент.
Qrator уже несколько раз обновлял в сторону понижения тарифы для операторов (и хостеров в частности). Принцип работы тот же - анонс префиксов через них (подняв с ними gre-туннель или организовав стык на ММТС-9). В общем-то, у них сейчас уже не такие заоблачные цены, как раньше, хотя, разумеется, выше, чем у ddos-guard. Защита в этом предложении до L5 включительно модели OSI. И, кстати, Qrator не требует роутить обратный трафик через себя для защиты от SYN-ACK атак, что является, в некотором смысле ноу-хау.
Атаки на исчерпание доступной полосы в основном производятся через (DNS-|SNMP-|SSDP-|CHARGEN-) амплификацию. Плечо атаки в при этом типе атак, по меньшей мере, 30-40. То есть, на 1 байт отправленный злоумышленником, в сторону жертвы от серверов, подверженных уязвимости в 30-40 раз больше.
То есть для организации атаки-амплификации в несколько десятков гигабит злоумышленнику достаточно иметь один (собственный или такой же взломанный) сервер, подключенный в гигабитный порт. Вы хотите сказать, что ни у кого нет пары таких серверов? Не смешите...
У некоторых хостеров с большим парком серверов бывают "хронические" проблемы с отдельными серверами. Вы не пробовали попросить перенести ваш аккаунт на другую платформу?
Разверните ответ, м.б. вместе посмеёмся.
Если что, на уровне ДЦ достаточно блокировать даже не весь UDP, а порты сервисов, которые обычно используются, как амплифаеры: src ports SSDP, NTP, SNMP, DNS. Только после этого нужно сразу приготовиться корректно отфильтровать SYN-flood, а при успешной фильтрации SYN-ACK flood. Это стандартный сценарий атакующих, которые сейчас реализуют.
А LeaseWeb почти наверняка откажется, они не любят связываться с атаками.
А, вообще, не похоже, чтобы атака была каких-то впечатляющих размеров - на точках обмена не видно заметных всплесков.
Мы у себя тестировали на E5-26XXv2 (конфигурация хостинговой платформы), он в режиме прокси аналогичные нагрузки держал, на работе ресурсов такой син флуд не отражался. Вы на каком дистрибутиве/ядре тестировали, кстати?
Не знаю, как у ТС, но если на современном среднестатистическом ксеоне SYN cookies включить, бОльшую часть атак SYN-флудом он потянет. Если ксеоны не очень современные, достаточно одного современного с SYN-Proxy + SYN cookies для защиты остальных.
