а что не так в договоре с мастерхостом?
Вы согласились с условиями оказания услуг и "заключили" договор... что не так?
150 рублей в час?
Повышенные нагрузки понятие растяжимое... если речь идет о синфлуде и генерации синкуки (md5 хэш), то заткнется все на одном из ядер CPU, которое не может генерировать более чем n MD5 хэшей в секунду, а следовательно ответов на синпакеты уйдет не более чем n. Циска со своей транспаретностью чуток подшизанулась и на синфлуд отвечает не синкукой, а чем-то другим... там в доке про это и написано. Боты у них отсеиваются на паузах, что по ресурсам менее затратно. Если в бот вставляют паузу, то несколько уровней гуардера складывается как есть... обращаться в циску в данном случае бесполезно. Как говориться на любую задницу есть болт с нужной резьбой, но по поводу нашей мы патчим сами, сами дорабатываем и сами разрабатываем... при грамотном анализе решения сложить можно любую систему ddos защиты, за исключением... исключения как раз составляют всякие кастом солюшены, которы модифицируются по ходу атаки... следовательно атакующие (рано или поздно) признают, что модифицировать своих ботов в разы сложнее, а следовательно атаки доступные для их понимания не имеют смысла...
ps. вот тем и живем.
на ядре freebsd оно базируется, а из user-level управляется 😂
ps. мы как-то хотели по 2-3 гуардера поставить в нужные места, но оно же блин пипец какое глючное всё... там руками с ддосом воевать надо.
Это наше собственное решение, которое применялось для отражения атак на km.ru, kommersant.ru и многие другие крупные ресурсы.
kostich добавил 23.10.2008 в 15:22
Потамушта вы нихрена не знаете про Cisco Guard. Если бы знали, то не несли бы чушь всякую... у железки три гигабитных дырки, которые могут принять только до 3Gbps трафика или чуть более 3mpps мелкопакетного флуда... больше в эту железку не пролезает физически.
да причем тут чорный пиар, когда речь идет про вашу компетентность... рассказываете тут какие-то сказки про циску, про какие-то гигабиты не мыслимые... возьмите доку хоть раз в жизни от этой циски и посмотрите что там к чему.
кастом салюшены используют, а циску впаривают тем кто хочет бороться с мелкими атаками.
kostich добавил 23.10.2008 в 15:27
Борис, Cisco Guard это appliance (софт + сервер), коорый установлен на IBM xSeries... мы же свой софт ставим на SuperMicro. Когда кто-то говорит, что на Cisco Guard производится какая-то аппаратная фильтрация, то пускай её раскрутит и посмотрит что там внутри.
Перестаньте фантазировать. Вы в курсе с какими портами бывает Cisco Guard? Вы в курсе, что для того что бы включить это железо для фильтрации 10 Гб/с понадобится 3+1 Cisco Guard и 10 гигабитных портов!!!? Вы в курсе, что требуемый балансинг не может балансить больше чем на 8 портов, а следовательно максимальное что можно фильтровать есть 8 Гб/с!!!?. А еще Вы ни разу не в курсе, что при включении в схему с балансингом оно атак вообще в упор не видит... и не в каждой сети её можно включить по такой схеме, т.е. если получится, то это большая удача.
Кто там грамотно его настроил для фильтрации 10 Гб/с?
Типа должен Вам поверить, что Вы знаете про Cisco Guard, который в оригинале сделала Riverhead Networks и который в последствии купила Cisco? Сама Cisco охренела придумывать солюшен для защиты и комерсы купили готовый, который и по сей день толком не работает так как надо... в сязи с чем:
прощай Cisco Guard... с 29 сентября 2008 Cisco Guard XT5650B офицально снят с продаж... чо там про Guard еще нам расскажете? остался еще один, которому тоже скоро кирдык придет.
ps. могу поспорить, что сокращения EOL и EOS для Вас тоже нихрена не значат.
kostich добавил 23.10.2008 в 11:01
по уровню цен это как раз для рядового потребителя.
Такие как вы есть потому, что у них есть возможность взять дедик с протекшеном за 500$ и продавать на нем защенный хостинг по 500$ каждому.
А вот как выглядит Cisco Guard XT 5650
А вот как выглядит NetVillage DDPS в разборе:
ps. как видите для фильтрации 8 гб/с наше решение занимает на 2-3u меньше.
У нас больше чем 11 стоек и больше чем 10 гигабитный канал (при этом на всех ix-ах рутеры готовы к апгрейдам линков до 10гиг ) 😂. Стоит это все во всех интересных нам ДЦ, ix-ах и т.д... т.е. если надо, то мы подрежем связность для конкретного префикса как надо и мало кто из провайдеров в мире сможет повторить такой финт... кстати, если не верите, то попробуйте уговорить спринта, лаеров, когент или телию отдавать транзит без китаез... ну или без ДТ... а ДТ это 2 гига спуфленных синов с небольшого ботнета (х.з. на каких линках у них юзера сидят, но это самое страшное вообще)... так вот Вы эти сины получите в любом случае т.к. у ДТ связность и Вы не сможете от них избавится даже при наличии отдельного линка до ДТ... ДТ не хочет продавать ничего кроме транзита. Ну т.е. имея более 500 пиров вы будете всегда получать по самое самое, т.к. задача ваших аплинков заключается в продаже вам бёрста... т.е. у Вас не получится взять 10 мег комита в сотошной дырке до ДТ что бы иметь возможность туда нульраутить... они не будут отдавать блехкол комунити, а если отдадут, то послав префикс в него это всё разойдется дальше и вообще на него ничего ходить не будет.
Простите за поток сознания, но со стороны шашками всегда махать проще... это касается многих BGP гуру, которые в данный момент в розовых очках и еще не знают какая жопа происходит в реальности... мы когда-то тоже думали, что флуд можно получать в дешевые линки, но интересы соседов с этим не стыкуются...
Под ключик в данный момент желания делать нет... хотя если за очень большие деньги, то в течении 7-8 месяцев можно повторить. но в некоторых телехаусах места уже нет там где надо... а то что есть слишком накладно получается (за кроссировку на 5-6 этажей вниз берут более штуки грина в месяц... монополисты хреновы)... и в итоге сотошный канал до китаез обойдется как 10 гиг на de-cix.
kostich добавил 21.10.2008 в 21:03
оно нихрена не работает... а если происходит чудо и оно работает, то затыкатеся где-то в другом месте 😂
kostich добавил 21.10.2008 в 22:57
а если это спуфленый синфлуд? 😂
Если с этими дураками разговаривать и о чем либо договариваться, то рынок этот превратится в сплошное кидалово. Ваша проблема в том, что Вы продаете воздух.
Ps. а мысли откатывать бабло дидосерам Вас не посещали?
а к нам не судьба попробовать?
ps. кстати мы это все мониторим, то что вы описали... но в определенный момент мочить зверьков перестали т.к. их фактически нельзя посадить.
pps. не надо только про Арборы опять... мест где они стоят в РФ нириально мало и используются они только для статы и блекхолов... собственно кроме как для этого их нельзя использовать.
