А потом с продлением как быть? По такой же цене, как на весь срок не дадут естественно?
(а, так вообще нельзя продлевать, тогда вопрос снимается)
Вроде ясно написал, на всем, кроме фейловера лучше экономить. Фейловер в целом позволит не платить премиум за поддержку, спать ночью, менять хостеров чаще и не боясь, брать серверы подешевле, ведь чтобы не случилось - не страшно, всегда есть резервный, и т.д. За года получится и качество выше и стоимость ниже.
Наоборот, хотите хороший хостинг - экономьте как можно больше, но начните с фейловера и минимум пары дешевых серверов от разных ДЦ. Привыкайте к быстрому развертыванию с первого дня. Проблемы-то будут в любом случае в любом ДЦ, а вот построить отказоустойчивое решение потом будет труднее и затратнее.
Да вот в том то и дело, что ничего, кроме L7 не пропустит на сервер, а с маленьким L7 трафиком и сам сервер справится при определенной настройке, это уже не так страшно и не так дорого :)
Т.е. по вашему они просто будут закрывать глаза, если много трафика пройдет через их девайсы и попадет во внутреннюю сють, ложа роутеры/свичи по пути? И это тратя чуть ли не по пол миллиона баксов каждый месяц на защиту? Смеетесь чтоли?
Не считаю. Это же все сойдется к тому, что ни вы, ни какой-то секьюрити эксперт не сможет рассказать как пробить, а если расскажет или опробует на моей IPшке - то уже завтра пофиксят.
Ну как обычно, один какой-то секьюрити "эксперт" ляпнул, другой посчитал его мнение авторитетным и повторял. А теперь вы за ними повторяете :) Это ж форум, тут так всегда.---------- Post added 06-11-2013 at 19:12 ----------А на самом деле атаки с большим трафиком все одинаковые, через рефлекторы/амплификаторы. Там и пробивать-то нечем, буквально несколько видов пакетов, содержание которых атакер не может контролировать.
Смысл говорить такую ерунду?
И что? Вон выше секьюрити "эксперт" тоже на клаудфлейр погнать не забыл. А OVH-то и пофиксить любую пробиваемость может, если она будет, их железки умеют весь трафик хранить для дальнейшего анализа. У них ведь анти ддос не для заработка, как тут у многих секьюрити "экспертов", а для защиты собственной инфраструктуры.
Я, кстати, забыл еще сказать, что когда бэкенды прятать нужно обязательно еще и свежий IP им выдавать, чтобы он нигде в истории ни на один домен не светился. А то нагуглят и попробуют положить.---------- Post added 06-11-2013 at 17:18 ----------
Как хостерам за копейки защитить сайты от ддос атак (кроме L7):
1. Спрятать IPшники бэкендов, полностью, все только проксировать на них через фронтенды. Даже почту отправлять с них через прокси и в интернет пускать через прокси (можно прозрачный). И запретить любые IP пакеты к ним, кроме как от фронтендов и внутренней сети. Иначе могут посмотреть IPшники в письмах при регистрации, насканить в подсети и найти где сайт хостится и т.д.
2. Взять один или пару севреров в OVH и перенести туда минимум 1 NS и минимум 1 фронтенд. Если будут атаковать и NSы, то по крайней мере хоть один, который в OVH будет работать.
3. Поставить маленький TTL секунд 60 всем NS записям всех доменов.
4. Скриптом на фронтенде в OVH мониторить работу остальных фронтендов. Как только какой-то перестанет работать - менять все указывающие на него записи во всех NSах на фронтенд в OVH. Serial в SOA тоже инкрементить. А, допустим, через час, после того, как заработали - менять назад.
5. Профит.
Получается защита до 480 гигабит и 480 миллионов пакетов в секунду (на сайте OVH есть где-то).
Цена решения - один раз работы на неделю и баксов 100-200 в месяц за NS и резервный фронтенд (сомневаюсь, что кто-то будет одновременно два разных фронтенда ддосить).
С L7 чуть тяжелее, но это редкость, атаки дорогие и там трафика много быть не может в принципе, даже 1 гигабит для L7 это уже очень очень много. ---------- Post added 06-11-2013 at 02:56 ----------
