Судя по всему атака комбинированная(syn flood+http flood), поэтому и бороться нужно с каждым типом атаки по своему. В сети полно статей на эту тему.
Для борьбы с syn flood можно почитать:
http://mtaalamu.ru/blog/93.html
Так как у вас судя по 502 ошибке используется фронт енд и скорее всего nginx, то для борьбы с http flood:
http://www.opennet.ru/base/sec/nginx_anti_dos.txt.html
Про 4 центра очистки: "The Prolexic Global Network is currently comprised of four scrubbing centers in strategic geographic locations". Взято по ссылке, что приводил вам выше.
Вы упорно игнорируете главное.
Имейте совесть, я это утверждал?
Я не вижу смысла дальше, что-то обсуждать.
+1
traceroute to 209.200.154.11 (209.200.154.11), 30 hops max, 60 byte packets 1 unknown.eserver-ru.com (91.189.x.x) 0.950 ms 0.937 ms 0.938 ms 2 blackhole.prolexic.com (195.66.224.31) 51.882 ms 52.819 ms 51.865 ms 3 unknown.prolexic.com (209.200.156.34) 51.852 ms 51.839 ms 51.799 ms 4 unknown.prolexic.com (209.200.154.11) 52.740 ms 51.751 ms 51.709 ms
а пинг чего не приложили?
пролексик - это не безвоздушное пространство. он имеет центры очистки в ДЦ расположенных в 4 точках по миру, в каждый центр очистки приходят каналы, в которых и происходит очистка, а уже потом очищенный трафик передаётся клиенту. и как же ты собираешься чистить трафик который не пришёл к тебе? И разницы принципиальной нет, придёт этот трафик в один ДЦ через 10 линков по 10Г (важно чтобы сверху этот трафик тебе смог отдать апстрим, а ты мог его отфильтровать на на своём устройстве очистки) или этот трафик ты будешь получать по 1 гигабитному линку в 100 распределенных ДЦ по всему миру. Это лишь повлияет на отказоустойчивость решения, а также позволит чистить трафик как можно ближе к источнику. Но принять ты его полюбому должен!
Удивляет, что вы сами не можете ответить на вопрос почему трейс короткий. Вы сидите за рткомм, который присутствует на LINX, там же сидит и пролексик:
inetnum: 195.66.224.0 - 195.66.225.255
netname: LINX-PEER-1
descr: London Internet Exchange (LINX)
молитесь богам и сжигайте ведьм!
netwind, при том, что если себе такие каналы не может позволить крупный оператор, то такие сервисы и подавно. Prolexic - самый крупный из anti-ddos сервисов, работающий по схеме с проксированием трафика путем DNS редиректа или анонсированием по BGP адресного пространства защищаемого клиента. При этом пролексик имеет суммарный канал - 150Гбит/с (http://www.prolexic.com/index.php/why-prolexic/our-global-network/). А теперь вопрос, как вы собираетесь чистить трафик, если вы его даже принять на себя не можете? Поэтому и задал его костичу, а способны ли они собсно принять такой трафик? Потому как, имхо, не было такого трафика. Я не веду спор о том плох или хорош антиддос-сервис такого типа, у него есть как свои плюсы так и свои недостатки (если надо могу перечислить).
Какие обоюдовыгодности, назовите? Вот я не понимаю. По мне так такой сервис не имеет каких-либо преференций. Так как обоюдовыгодность, как раз выражается в способности генерировать трафик, а не только потреблять. Играть они могут только на "полосе по требованию" и оплачивать паразитный трафик во время атаки по более низкой цене. Но тех, кто будет работать по такой схеме, еще нужно поискать.
Роман, толк в том, что ростелеком подключается к апстримам не только на MSK-IX, а еще и на AMS-IX, DE-CIX... Поэтому трафик будет литься через всех апстримов, через кого-то больше, через кого-то меньше, но не суть.:)
Вы покупали? Может цены назовете? С ваших слов, купить так пару сотен гигов для оператора середнячка ничего не стоит, а уж крупняк так вообще не задумываясь терабитами берёт. Можно пару примеров российских операторов с внешними каналами >300Гбит/с?
Для примера:
http://www.robtex.com/as/as6854.html чёт синтера до 300 не дотягивает. бедная контора?
http://www.robtex.com/as/as12389.html у ростелекома всё впорядке.
Вам свойственно приписывать мне то, чем я не занимаюсь. Я только буду за, если вы будете именно рассуждать и приводить факты с цифрами, а не на уровне мне так кажется, а также предлагать догадаться.
Во первых: вы действительно не используете слэнг и абривиатуры, но это не мешает вам писать невнятно простыми словами.
Во вторых: где вы видите, чтобы я говорил о "невозможность отфильтровывать паразитный трафик на один конкретный адрес, возникающий при распределенной атаке, сразу в нескольких топологически удаленных точках мировой сети интернет" ? Мало того, я сам могу вам нарисовать схему с конкретным оборудованием, с помощью которого можно перелапатить весь этот трафик на сети одного оператора. Не путайте возможность и способность(по факту).
В третьих: я писал о суммарной пропускной способности каналов. поэтому для того, чтобы поиметь 100Г распределенно, как не крути все равно надо купить либо 100*1Гбит/с, либо 10*10Гбит/с и т.д.
P.S. Я думаю, если вы начнёте использовать "сленг, аббревиатуры, названия производителей оборудования и прочую узкоспециализированную фигню" никто на вас не обидется, ведь тут все в теме. Не правда ли?
Больно кажется мне не в этом дело, не в теме просто и про ddos только по картинкам и статьям. Все подробности и без вас знаем. Такими коментами вы себе только репутацию портите, а уж люди знающие - свой бизнес сами сберегут. То, что вы могли написать, на любом заборе написано.
Думаю тему стоит прикрывать, ничего нового мы здесь не услышим.:(
С такими цифрами как вы пишете и апстримов можно залить...Всё верно. А кто-то спорит? Вопрос в том только сколько их у вас и что это за апстримы... Но речь не об этом.
Сами поняли, что написали? Если уж в теме и это ваш уровень, то будьте добры просветите бестолкового. Или проще писать о сферическом коне?
Задав вопрос костичу, я надеялся, что он внесёт ясность, так как уверен, что человек он компетентный и уж не в коем случае не пытаюсь дискредитировать его.
