Комментарии 5
А что в плане защиты от DDOS?
Не все ресурсы одинаковы и решение отбивать/подавлять/отключить, зависит от мощности атак:
1. Атаки до 300 МБит/сек (около 50% вообще атак) — созваниваемся с клиентом и консультируем как оптимизировать свой ресурс, развешиваем листы на нашей пограничке, отсекая ненужный трафик, если это возможно.
2. атаки от 300 до 1000 МБит/сек, которых 45% — в зависимости от контракта с клиентом: если клиент подписался на опцию «зашиты от DDOS до 1000МБит/сек», то к решению подключается наш специалист и его главная задача обеспечить доступность каналов, чтобы атака не мешала работе посетителям этого ресурса. Арсенал специалиста: управление BGP анонсами, балансировка трафика, листы доступа на границах нашей сети и на границах сетей международных транзитчиков, как крайняя мера — клонирование ресурса на разных IP адресах и black-hole для подавления части этих адресов. Услуга такой защиты стоит совсем недорого, все ресурсы в зоне риска, как правило, знают и добавляют эту услугу.
2. Атаки от 1 ГБит/сек (менее 1% атак) — оцениваем расходы по подавлению атаки и созваниваемся с клиентом, если клиент готов нести дополнительные расходы и отбиваться — мы переводим ресурс в отдельные гигабитные каналы (изолируем от других ресурсов), делаем распределенные зеркала с адресами из отдельной AS, которая выборочно анонсируется где нужно, а так же территориально распределена. Есть опыт отбивания атак до 15 ГБит/сек на протяжении недель, весь арсенал отработан и заточен… от многосессионных прокси в виде замороженных виртуалок в разных сетях, до подготовленных шаблонов black-hole анонсов. На атаках в десятки ГБит/сек (в особо тяжелых случаях) доступность ресурса обеспечиваем для 80-90% посетителей.
Атаки ведь тоже кто-то покупает и сделать мощный DDOS тоже кому-то бъет по карману. Если знаете, что будет атака — изначально оговорите в контракте.
Все вышесказанное относится к канальным DDOS на международные каналы, про всякие SYN DDOS и подобные (без загрузки каналов) даже говорить не имеет смысла, по-моему, уже каждый нормальный админ их умеет давить, а мы помогаем чем можем… кому сервак мощный по прокси дать, кому адресов добавить, кому листы на порт повесить, кого через ASA пропустить… что попросят, вобщем.
1. Атаки до 300 МБит/сек (около 50% вообще атак) — созваниваемся с клиентом и консультируем как оптимизировать свой ресурс, развешиваем листы на нашей пограничке, отсекая ненужный трафик, если это возможно.
2. атаки от 300 до 1000 МБит/сек, которых 45% — в зависимости от контракта с клиентом: если клиент подписался на опцию «зашиты от DDOS до 1000МБит/сек», то к решению подключается наш специалист и его главная задача обеспечить доступность каналов, чтобы атака не мешала работе посетителям этого ресурса. Арсенал специалиста: управление BGP анонсами, балансировка трафика, листы доступа на границах нашей сети и на границах сетей международных транзитчиков, как крайняя мера — клонирование ресурса на разных IP адресах и black-hole для подавления части этих адресов. Услуга такой защиты стоит совсем недорого, все ресурсы в зоне риска, как правило, знают и добавляют эту услугу.
2. Атаки от 1 ГБит/сек (менее 1% атак) — оцениваем расходы по подавлению атаки и созваниваемся с клиентом, если клиент готов нести дополнительные расходы и отбиваться — мы переводим ресурс в отдельные гигабитные каналы (изолируем от других ресурсов), делаем распределенные зеркала с адресами из отдельной AS, которая выборочно анонсируется где нужно, а так же территориально распределена. Есть опыт отбивания атак до 15 ГБит/сек на протяжении недель, весь арсенал отработан и заточен… от многосессионных прокси в виде замороженных виртуалок в разных сетях, до подготовленных шаблонов black-hole анонсов. На атаках в десятки ГБит/сек (в особо тяжелых случаях) доступность ресурса обеспечиваем для 80-90% посетителей.
Атаки ведь тоже кто-то покупает и сделать мощный DDOS тоже кому-то бъет по карману. Если знаете, что будет атака — изначально оговорите в контракте.
Все вышесказанное относится к канальным DDOS на международные каналы, про всякие SYN DDOS и подобные (без загрузки каналов) даже говорить не имеет смысла, по-моему, уже каждый нормальный админ их умеет давить, а мы помогаем чем можем… кому сервак мощный по прокси дать, кому адресов добавить, кому листы на порт повесить, кого через ASA пропустить… что попросят, вобщем.
Билайн для ШПД покупал ААА и «старый» ЛК от естайла, ААА лёг после 50.000 абонов на нем (некоторые наверно помнят какие проблемы были тем летом с авторизацией), ЛК часто ложился, потом они его чинили и допиливали, остались недовольны этим вендором.
Если честно, то понятия не имею, что и у кого, да еще и когда купил пчелайн. Но если пчелайн выбрирал подрядчика — значит, во-первых, сам не смог сделать (специалистов в пчелайне не нашлось), а во-вторых, выбрали лучшего из тех кто предложил в рамках вашего бюджета… или у вас и выбирать не умеют?
Судя по деятельности, наверное, все-же не e-style, а SoftwareHouse делал, да и делал ли? или приделывал, или вообще не они?
Да и сомневаюсь, что у вас так все шоколадно, а один SoftwareHouse напортачил… делают они на совесть, а крайнего найти в умах среднего манагера… ну естественно, не признавать же, что сами не ангелы.
Я дома корбиной пользовался, пришел билайн — все изгадил, сервис стал напорядок хуже, скорость упала, по финансам стало намного хуже… и никакие подрядчики здесь ни при чем.
Судя по деятельности, наверное, все-же не e-style, а SoftwareHouse делал, да и делал ли? или приделывал, или вообще не они?
Да и сомневаюсь, что у вас так все шоколадно, а один SoftwareHouse напортачил… делают они на совесть, а крайнего найти в умах среднего манагера… ну естественно, не признавать же, что сами не ангелы.
Я дома корбиной пользовался, пришел билайн — все изгадил, сервис стал напорядок хуже, скорость упала, по финансам стало намного хуже… и никакие подрядчики здесь ни при чем.
Если бы вы изначально подключились к Билайну, вы бы ощутили всё качество работы ААА и других вендорских серверов, об этом можете спросить у старожилов на форуме. Корбиновских пользователей тогда не задело, сейчас в корбине при слиянии избавляются от естайловского ААА и ЛК, как все завершится вы узнаете прежний корбиновский сервис. Сейчас естайловый ААА стоит на украине для билайн-интернета, там абонов мало, около 30к так что он там долго может стоять, а для крупных провайдеров он не подходит.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новогодние подарки от e-Style ISP