kxk, сервис делается для себя, он не будет под атакой в режиме 24/7, поэтому школьную арифметику оставьте при себе.
Проекты, серьезней домашних страничек, имеют несколько серверов при единой точке входа, так что реальные IP рабочих серверов не знает никто. IP который определяется nslookup принадлежит серверу, который распределяет запросы на рабочие сервера. Замена этого адреса дело нескольких минут.
Смотря что считать обычными тарифами. Тестовая эксплуатация никакого дохода не подразумевает, потому и расходы могут быть несколько больше "обычных".
Проксировать действительно имеет смысл только тогда, когда атакующие или вообще не знают актуального IP клиента, или по собственной глупости натравили ботов не на http://123.123.123.123, а на http://company.com. Например на наш сервис в свое вермя атака была именно по доменному имени, изменение A-записи привело к быстрому уходу всего паразитного трафика на другой хост, продолжать долбить именно наш канал они почему-то не додумались.
Если досеры достаточно умные и после изменения привязки домена продолжают долбить старый адрес (например, видя, что это помогает), то понятно, что тут поможет только переход клиента на другой физический линк с другим IP-адресом.
Кто вам сказал про 100-мегабитный канал? А всего вдвое более быстрый линк уже за пределами понятия "обычный сервер"?
Для достаточно нормальной работы, скоросто нашего канала должна быть равна или больше числа "плотность атаки"+2*"обычный трафик подзащитного", так что до честных 200 Mbps мы конечно не дотягиваем, но для небольших сайтов оно к тому близко.
По поводу iptables повторяю, мы его в качестве элемента защиты не используем, у нас свой реверсивный прокси-сервер. Мы берем атаку на себя, а чистый трафик гоним клменту. Если атака идет на IP (а не на домен) клиента и полностью забивает его канал, мы ничем помочь не можем при всем желании, тут клиент должен для начала сменить IP.
7910 добавил 22.04.2010 в 16:36
Смотря какого объема. Европейские ДЦ дают простым смертным до 10Тб в месяц, тот же rapidswitch к примеру.
Не в теме тут как раз kxk, ибо во-первых тестовый трафик вполне себе может быть дотируемым, а следовательно, бесплатным, а во-вторых никто про фильтрацию 200 мегабит на 100-мегабитном канале и не говорит.
iptables у нас не используется, это я для примера сказала. Сервер для пилотного запуска используется самый простой, без всяких наворотов. И канал никакими запредельными скоростями не отличается. Просто софт за пару часов накопил черный список адресов и весь ботнет остался за бортом. А информация о трех процентах получена от заказчика, мы ее адекватно оценить пока не можем.
У нас полностью самописный софт, работающий на обычном linux-сервере, никаких цисок и иже с ними. Софт писался обычными программистами и в его крутости мы еще совсем не уверены. Отражение такой атаки по черному списку доступно банально средствами iptables.
7910 добавил 22.04.2010 в 15:28
Пиарить же нам нечего, ссылка на наш проект у меня в подписи, найдите там услугу по защите :)
Как уже было сказано, весь этот проект затеян для защиты другого проекта, который не так давно был напроч парализован атакой примерно в 20000 хостов (точно не знаем, т.к. наш тогдашний "защитник" был немногословен).
Что касается масштабов отраженной атаки в 50000 хостов, то эта атака была весьма примитивной, они "в лоб" заполняли web-сервер однотипными запросами. Мы же хотим проверить работу алгоритмов и оборудования на более изощренных атаках.
Успешно были отражены атаки на сайты с нормальной посещаемостью около 3000 хостов, атакуемые ботнетом с размером до 50000 хостов
Точный подсчет конечно затруднен, по оценкам владельцев сайтов процента 3.
У нас сугубо внутренний проект для защиты своих проектов, который необходимо отладить. На рынок с подобной услугой выходить не собираемся и отбирать хлеб у тех, кто предоставляет подобные услуги тоже. Так что прошу не минусовать.
Отбивали атаки плотностью 200Mbit около 50 тыс. хостов.
Быстро без всяких проблем произвела у ТС обмен ЯД на WMR
