Т.е. при ддос-е из зарубежных сетей более 2-х гигабит будет гарантированный нульраут в зарубежные сети? И если по сумме каналов будет 42 гигабита, то каким образом в разных тендерах фигурируют цифры в 50 гигабит? И если 42 гигабита, то это не значит что они на 100% простаивают и в них можно принять ддос... так? У вас, подозреваю, как и у всех 60-70% загрузка каналов... т.е. максимум что можно принять без ущерба лежит в р-не 500 мегабит на забугор, 2-3 гигов на ОПГ... а IX по всей видимости никого не интерисует. И если запад у вас 2x1Gb, то я не думаю что туда при штатной загрузке даже 500 мегабит без ущерба для остальных красиво пролезет... по всей видимости на вас еще не было ни одной серьезной атаки?
ps. спасибо за честные цифры. главное доводить их до клиента еще до того как он вам что-то оплатит или сорвется с насиженного и стабильного места.
Вы не поняли. Вы можете сколько угодно писать про компании и др. в ЦОДе, но не имеет ничего общего с принятием DDOS трафика до фильтрующего оборудования. Не опишите канальные емкости на которых осуществляется оказание услуги?
улыбнуло. я про каналы до крутого ЦОД-а писал, среди которых по ходу нет ни одного толстого с транзитным IP. мне просто интересно что такого из каналов имеет контора, которая где-то в бумагах пишет про защиту до 50 гигабит... с гарантией.
А что тут лучше? Клиенту с 10 мегабитным каналом должны выставлять 990$, если я все правильно понял... но они выставляют ему значительно больше и гарантируют защиту до 50 гигабит.. мне вот интересно, что будет с даталайном если ему в один из десятошных пиров десять гигов придёт и будет там торчать неделю? и потом там есть приписка, что если атака не дольше 4-х дней... а что будет если дольше?
Пикфлоу, приведенный в качестве основного оборудования, не используется для защиты, т.к. умеет исключительно обнаруживать... высокоуровневые атаки он не видит, т.к. о них нет информации в netflow.
Дмитрий Матвеевич, а не огласите ли Вы кол-во и объем пиров до ДЦ? Хоть один на 10 гиг там есть?
нету. хотя бы вспомнить старые NPE-400 у циски. а железяку с этим процом не все региональные провайдеры могли себе позволить. и это в то время когда какая-то китайская офисная хрень на аналогичной задаче не проявляла признаков беспокойства. NPE-400 это 400kpps, а NPE-1G уже 1 mpps... 1 mpps синфлуда это даже не 1 гигабит загрузки канала, но тем не менее это 100% загрузка сетевого проца.
стоимость устройства никак не подверждает описанных в инструкции параметров.
сори за офф, но пора уже школу антиддосеров открывать 😂
кол-во пакетов в секунду ограничивается возможностями физического линка. если мы говорим про обычную сотку или гигабит, то при минимальном размере пакета канал умрет раньше чем произойдет его полная загрузка.
с моей подачи много чего вырубали...
ack надо слать в любом случае и его отсылает любая защиа от син-флуда. причем бывает так, что эта защита срабатывает у транзитных оператов, а ты как дурак тупо получаешь абузы на тему того как твои сервера атакуют чью-то сеть.
что бы грамотно задавить надо как минимум понимать в том как этот интернет работает. а так у них каналодавилка еще не выросла.
kostich добавил 29.04.2010 в 09:24
Идёт атака со спуфленым синфлудом, ваши сервера посылают ack-и тем кто пакеты вообще не слал, а админы тех сетей и серверов брызжа слюной обвиняют вас в DDOS-е их сети и серверов... угрожают жалобами в силовые структуры... и т.д. и т.п... мне кажется необразованным в сетевом плане дибилам надо запретить писать жалобы.
