TriKS

Ого. А как это у вас в одном Svlan клиенты из разных Cvlan начали айпишки получать? Бред же. Разве что у этих клиентов олинаковый cvlan

Скорее под этим они подразумевают самостоятельное детектирование и блокировку атак на ваши IP(они же арендованные у ТТК, верно?). Мы же говорим про самостоятельное управление этим балетом, т.е. вам предоставляют комьюнити, с помошью которых вы уже будете взаимодействовать с провайдерским BGP роутером, говоря ему что и как делать. Но пока на моей практике все что дают провайдеры - блекхолинг всего IP, а не отдельных портов.

таки да! Но я еще не встречал апстримов что это умеют. Максимум - блекхол на /32.

Можно, но вам это мало что даст. BCP38 в гугле.

это костыль жесткий. И вам всеравно нужно отливить руками что летит, затем запихать это в комьюнити(отдельное комьюнити под каждый диапазон портов!), апстрим по этому комьюнити уже будет у себя скрипт запускать, который побежит на их бордер и поблочит то, что прописано. Но это врядли реализуется в вашем случае, да и костыль это. И не убирает работы руками по поиску того, что и куда летит. у UDP нет SYN. Это протокол без установки сосединения. Ну ОК. НТП амплификация. Вам нужно зарезать все пакеты в сторону вашего IP по src port + разрешить эти пакеты со списка валидных НТП. Апстрим сделает это? Кто будет следить за валидным списком НТП? Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку. Но почему многим пофиг - это другая история.

Это все - ручное рукоблудие. Разворачивать "авто" - стоит денег, порой куда бОльших, чем заказать простенькую защиту у апстрима. в блекхол нельзя отправить порт. Увы. Разве что костылить скрипты обработки правил со стороны апстрима. Ну типа получил от вас комьюнити - запустили скрипт, который дропает трафик на диапазон портов. Но что-то мне подсказывает, что вам это врядли светит. Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты....

Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут. И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст. Нормальные апстримы сами в состоянии детектить ДДоС и отправлять в блекхол.

Тогда терпеть боль и костылить через апстрима. Иначе увы - никак.

Согласен. Добавлю только что так практически в любой отрасли.

Верное замечание.

тогда выходит 4*10Г->10Г. Но думаю все и так поняли, что если нет переливов трафика из бОльшего в мЕньшее - то буфера не юзаются.

Если все порты юзать без переливов 10->1, то пофиг.

http://ic-line.ua/wiki/pon-byudget Считайте

или 2 микротика

естественно. Вскройте ОНУ от Элтекса и от ЗТЕ. и поглядите компонентную базу :) Вы думаете ваш Элтекс внезапно свои чипы придумал? Или мегаконденсаторы с ШИМками? ))) О госпаде. И куда же попала молния? В оптику? или у вас в серверных все настолько грустно, что даже не УПС помер, а ОЛТ сгорел.... Взламывают блоки? Это про что? Онушки с китаской прошивкой с бэкдором шоле? Ну так продавцу люлей вставил и сказал, что больше не придешь если такая дичь будет.... ИМ будет норм прошивка. Ах да. Взламывали тех, кто имел белый IP прямо на ОНУ. И это были какието партии... Но вы опять по диагонали почитали да и все. А Элтекс не имеет прицендентов потому, как мало распространен. Я более чем уверен ОЛТов ZTE и Huawei продано в сотни раз больше, чем Элтексовых ))) За эти бабки я просто достану новую ОНУ и подарю абоненту ))) 9 баксов, Карл!!!