Создание Антиддоса

[Twinker 487]

А по Вашему трафик, это просто "пустота" и он не как не отражается на канале, даже если на 3м шаге его отбросить?

Все дело в том, что если установить модуль защиты после свича ДЦ, который лимитирует канал до 100 мбит к примеру, то эта защита будет не о чем. Для того что бы поставить его перед свичем распределитель трафика, нужно больше усилий, и возможности такого решения в самом ЦОД.

Но опять же. 100 мбит канал, даже если откинуть трафик который паразитный,он кроме того что не будет доходить до сервера,не изменит нагрузки на канал ( то есть ответы по несколько байтов будут, а это уже нагрузка).

Опять же бред несете.

 

Еще раз построим схему.

 

DDoS > Internet (10G канал например) > Filter (До 10G) > Switch (100mbit/s) > Канал (100mbit/s) > Сервер

 

Началась DDoS атака в 5G. Фильтр замечает аномалию и начинает усиленно очищать трафик. ОБРАБОТАННЫЙ (легитимный) трафик (а это примерно 0.1-1% от всего трафика), идет на свич. У свича канал 100mbit/s, но чистый трафик гораздо меньше. Свич спокойно и легко посылает трафик на сервер.

Нагрузка фильтра - ~50%. Все спокойно работает.

 

Думаю я ясно объяснил?

Изменено 28 апреля, 2013 пользователем Twinker

[77888768 2]

"Juniper NetScreen-5400, цена 48 000 $, заказать в Киеве" Железку эту покупать не вириант

Изменено 28 апреля, 2013 пользователем 77888768

[Twinker 487]

Juniper SRX покупайте. Хорошая вещь. http://juniper-shop.ru тут посмотрите всякие.

Juniper SRX 100 к примеру держит ~600mbps входящего трафика и стоит 25 тыс. р. Скоро закажу себе SRX 220 скорее всего.

Изменено 28 апреля, 2013 пользователем Twinker

[Mass 56]

Опять же бред несете.

 

Еще раз построим схему.

 

DDoS > Internet (10G канал например) > Filter (До 10G) > Switch (100mbit/s) > Канал (100mbit/s) > Сервер

 

Началась DDoS атака в 5G. Фильтр замечает аномалию и начинает усиленно очищать трафик. ОБРАБОТАННЫЙ (легитимный) трафик (а это примерно 0.1-1% от всего трафика), идет на свич. У свича канал 100mbit/s, но чистый трафик гораздо меньше. Свич спокойно и легко посылает трафик на сервер.

Нагрузка фильтра - ~50%. Все спокойно работает.

 

Думаю я ясно объяснил?

Я Вам о том, что если Вы у ДЦ арендуете 100 мбит, а Вы мне о том, как оно работает. Я прекрасно понимаю.

Идет же речь о том,что если нету к примеру 10 гбит интернета. А всего лишь 100 мбит или там 1 Гбит. Что тогда?

 

То что сам ЦОД может иметь канал в 10 Гб это понятно. Но кто Вам даст все эти 10 Гбит под фильтр..

[Temptation 69]

все проще, гейм сервер и логин сервер ставим на разных машинах, гейм серверу закрываем нах все порты, даже анти ддос не нужен, и писать защиту на уровне ядра чтобы открывать порт гейм сервера ТОЛЬКО тем кто прошел авторизацию на логин сервере...ок что если будут ддосить логин.. тут вариант потруднее надо платить человеку который реализует лаунчер с привязкой dllbind которая будет открывать порты логина тем кто прошел авторизацию в лаунчере\либо тому у кого активен лаунчер и есть активное соед.-ие.

 

Воть

[Twinker 487]

Я Вам о том, что если Вы у ДЦ арендуете 100 мбит, а Вы мне о том, как оно работает. Я прекрасно понимаю.

Идет же речь о том,что если нету к примеру 10 гбит интернета. А всего лишь 100 мбит или там 1 Гбит. Что тогда?

 

То что сам ЦОД может иметь канал в 10 Гб это понятно. Но кто Вам даст все эти 10 Гбит под фильтр..

Вы о чем сейчас? Вы что-то невообразимое придумываете. То об одном, то о другом.

 

В своем первом сообщении Вы сказали, что если фильтр 30G, а канал 100m, то ддос защита будет только до 100m.

И Вы не правы. Фильтр 30G - то и защита 30G.

 

Если канал 100mbps > Фильтр до 30G > Switch > Сервер, тогда ясно дело. До 100мбит/с.

Но речь идет о фильтре в дата-центре с использованием его канала.

 

И на счет "не даст 10G". Да любой дата-центр попу клиенту оближет, если он поставит в его ДЦ свой фильтр. Он туда все, что можно подключит и будет продавать свои сервера "под защитой от DDoS" и получать большую прибыль (если фильтр мощный и сможет выдержать такой канал) ну и конечно если клиент согласится.

А он согласится. Ибо ДЦ предложит поставить его фильтр бесплатно Т.к им это настолько на руку, что они сами будут готовы платить.

Изменено 28 апреля, 2013 пользователем Twinker

[Twinker 487]

все проще, гейм сервер и логин сервер ставим на разных машинах, гейм серверу закрываем нах все порты, даже анти ддос не нужен, и писать защиту на уровне ядра чтобы открывать порт гейм сервера ТОЛЬКО тем кто прошел авторизацию на логин сервере...ок что если будут ддосить логин.. тут вариант потруднее надо платить человеку который реализует лаунчер с привязкой dllbind которая будет открывать порты логина тем кто прошел авторизацию в лаунчере\либо тому у кого активен лаунчер и есть активное соед.-ие.

 

Воть

Дааа. UDP и до свидания, вся эта цепочка.

Только если делать это на уровне ДЦ и на их аплинках. А это они позволят не каждому и за кругленькую сумму.

Изменено 28 апреля, 2013 пользователем Twinker

[Mass 56]

Вы о чем сейчас? Вы что-то невообразимое придумываете. То об одном, то о другом.

 

В своем первом сообщении Вы сказали, что если фильтр 30G, а канал 100m, то ддос защита будет только до 100m.

И Вы не правы. Фильтр 30G - то и защита 30G.

 

Если канал 100mbps > Фильтр до 30G > Switch > Сервер, тогда ясно дело. До 100мбит/с.

Но речь идет о фильтре в дата-центре с использованием его канала.

Вот эту фразу я в первый раз вижу. Не делайте из меня идиота. Попробуйте осмыслить, а не выпаливать то что уже 3й раз пишите (в разных вариациях)

Я о том,что если Дата Центр не занимается защитой от DDoS,а хочется себя защитить, то при аренде того же юнита или стойки,и канала в 100 мбит,ставить фильтр в 10 гбит бестолку, защита будет всего на 100 мбит. Ибо нужно заказывать шире подключение. Речи о том, что фильтр уже стоит в ДЦ не было.

[Twinker 487]

Вот эту фразу я в первый раз вижу. Не делайте из меня идиота. Попробуйте осмыслить, а не выпаливать то что уже 3й раз пишите (в разных вариациях)

Я о том,что если Дата Центр не занимается защитой от DDoS,а хочется себя защитить, то при аренде того же юнита или стойки,и канала в 100 мбит,ставить фильтр в 10 гбит бестолку, защита будет всего на 100 мбит. Ибо нужно заказывать шире подключение. Речи о том, что фильтр уже стоит в ДЦ не было.

А что, будете ставить фильтр в 30G за 1+ миллион рублей домой на канал 100mbps? Вот не надо тут этого.

Ставить его любой будет в ДЦ, либо арендовать канал в 10G оптоволоконный.

Да и ДЦ за мощный фильтр и при условии подключения всех его аплинков оближет попу и сам будет платить за то, что Ваш фильтр стоит у них (либо просто будет бесплатно стоять)

[Mass 56]

Смотрим (первые запросы с google: Colocation)

http://www.united.ne...colocation.html

http://mirohost.net/servers/colocation

http://unixhost.com.ua/colocation.php

 

Стандартная скорость подключения в основе: 100 мбит.

Стоимость 1 Гбита - порядка 200-400$ к размещению.

Таким образом, что бы защитить себя от 5 Гбит, нужно иметь порт подключения в 5 Гбит (1000-2000$/мес) + защита (от 1-3к$).

О чем еще может быть разговор?

 

 

Ставить его любой будет в ДЦ, либо арендовать канал в 10G оптоволоконный.

Опять же, те же яйца, только в профиль. Нужно платить за расширение канала.

 

 

Да и ДЦ за мощный фильтр и при условии подключения всех его аплинков оближет попу и сам будет платить за то, что Ваш фильтр стоит у них (либо просто будет бесплатно стоять)

А это уже будет зависеть от того, нужно ли это ДЦ и удастся ли договориться, что бы перед ихними свичами, на их аплинк поставить свою защиту. Но в этом случае, придется делить ее с самим ДЦ.

Но изначально ишлось не об этом. А о самостоятельном размещении оборудования в ДЦ.

Изменено 28 апреля, 2013 пользователем Mass

[Twinker 487]

Смотрим (первые запросы с google: Colocation)

http://www.united.ne...colocation.html

http://mirohost.net/servers/colocation

http://unixhost.com.ua/colocation.php

 

Стандартная скорость подключения в основе: 100 мбит.

Стоимость 1 Гбита - порядка 200-400$ к размещению.

Таким образом, что бы защитить себя от 5 Гбит, нужно иметь порт подключения в 5 Гбит (1000-2000$/мес) + защита (от 1-3к$).

О чем еще может разговор?

 

 

 

Опять же, те же яйца, только в профиль. Нужно платить за расширение канала.

 

 

 

А это уже будет зависеть от того, нужно ли это ДЦ и удастся ли договориться, что бы перед ихними свичами, на их аплинк поставить свою защиту. Но в этом случае, придется делить ее с самим ДЦ.

Но изначально ишлось не об этом. А о самостоятельном размещении оборудования в ДЦ.

Позвольте, ни о каком самостоятельном размещении оборудования не говорилось.

 

Говорилось о:

• Фильтр
  
• Сервер
  

Ни о чем больше не велось речи. Ваши слова тут не уместны. Есть фильтр, есть сервер. Фильтр до 10gbps. Значит и защита при полной мощности будет 10gbps. Фильтр 30gbps? Защита до 30gbps.

Изменено 28 апреля, 2013 пользователем Twinker

[Mass 56]

[Twinker 487]

Именно так. Бессмысленный спор.

[Mass 56]

Он бессмысленный, ибо мне так и не удалось донести главной мысли во всем этом.

[High 598]

Половина из написанного , вовсе не будет иметь смысла , так как нудно .

А защиту (Идеальную) изобрести от ддоса - невозможно

[Twinker 487]

Он бессмысленный, ибо мне так и не удалось донести главной мысли во всем этом.

Я думаю все же удалось

 

 

Internet > Data-Center > Switch > Канал 100mbit/s > Фильтр до 30G > Сервер = Защита до 100mbit/s, т.к канал до фильтра = 100mbit/s

Internet > Data-Center > Фильтр до 30G > Switch > Канал 100mbit/s > Сервер = Защита до 30G, т.к фильтр расположен на аплинке дата-центра, а затем уже идет подключение к серверу канала в 100мбит/с

[Mass 56]

Именно.