[sdy_moscow]

Интересно, сколько сейчас надо иметь толщину аплинков, что-бы выдерживать средненький ДДОС?

[alibek]

Соответствующим апстримам.

Толще нет смысла, если апстрим не выдержит.

[sdy_moscow]

 

@alibek Тут надо понимать, что аплинки у всех  в основном 10 может с ЛАСПом, мало у кого 40 или 100, но ног как правило несколько.  Интересен конкретный опыт, сколько могут тебе устойчиво (больше 30 минут) вливать в АС сегодня. 10,20,50,100,200,1000?

[myst]

8 часов назад, snvoronkov сказал:

4pda.ru же! :-)

 

Как по мне, так лучше не иметь никакого, чем иметь такой.

а что с ним? С 4pda.ru я имею ввиду.

[snvoronkov]

2 часа назад, myst сказал:

а что с ним? С 4pda.ru я имею ввиду.

https://4pda.to/forum/index.php?showtopic=1024777

[SOFTOLAB]

23 hours ago, jffulcrum said:

Без коробки: на тебя прёт, все ложится, аплинк звонит и говорит - извини, мужик, экскоммуникадо - я всю твою AS заворачиваю КЕМ, у меня уже тоже местами трещит.

С коробкой: на тебя прет, все ложится, ты судорожно перебираешь настройки коробки, звонит аплинк, ты выпрашиваешь час, звонишь в саппорт вендора, там уставший индус рассказывает тебе еще какие-то настройки, ты их крутишь, ни людей Х не меняется, и аплинк тебя отключает. 

Каким образом коробка вообще может помочь, если забивают канал ДО коробки?

 

21 hours ago, sdy_moscow said:

 

@alibek Тут надо понимать, что аплинки у всех  в основном 10 может с ЛАСПом, мало у кого 40 или 100, но ног как правило несколько.  Интересен конкретный опыт, сколько могут тебе устойчиво (больше 30 минут) вливать в АС сегодня. 10,20,50,100,200,1000?

Говорят в CF несколько террабит вливали)

[JoeDoe]

Коробка вас не спасёт - это решение из середины нулевых. Как она справится с атакой на терабит?!

По ссылке можете почитать про современный подход в защите от DDoS:

NANOG 82 Craig Labovitz Tracing Volumetric DDoS to its Booter 

[h3ll1]

On 5/28/2021 at 9:25 AM, ShyLion said:

защиты от DDoS

https://blog.cloudflare.com/how-to-drop-10-million-packets/

Может понадобится.

[orlik]

Вон тоже cf отбивался от терабитной атаки на обычных коробках

https://blogs.juniper.net/en-us/security/stopping-1-4tbps-memecached-ddos-attack-at-peering-router

[jffulcrum]

19 часов назад, h3ll1 сказал:

https://blog.cloudflare.com/how-to-drop-10-million-packets/

 

3 часа назад, orlik сказал:

https://blogs.juniper.net/en-us/security/stopping-1-4tbps-memecached-ddos-attack-at-peering-router

И там, и там незримо присутствует некий аналитик, разматывающий трафик по битам и пишущий программу для железа, чтобы селективно трафик дропнуть. Без этого аналитика любая коробка - просто коробка. С таким же успехом можно антивирусную защиту ставить без подписки на обновления сигнатур. И еще хорошо так опущен фактор времени - этот аналитик не просто есть, он в доступности и анализирует очень быстро...или имеется достаточный запас времени для анализа и выработки мер. 

 

Я не отговариваю, если что. Вперед, парни, в ваших силах соревноваться с CloudFare и Qrator с их сетью ловушек раннего предупреждения, терабитами каналов и терафлопсами мощностей, отделами аналитиков и автоматизированными тестовыми лабораториями. В конце концов, я в 90-х лично видел парней, успевавших вычленить сигнатуры вирусов и написать фильтр для Netware быстрее, чем фирмы Касперского или Данилова выпускали обновления.

[orlik]

6 hours ago, jffulcrum said:

Я не отговариваю, если что. Вперед, парни, в ваших силах соревноваться с CloudFare и Qrator

Нее , вы немного путаете. Вы не погоните весь свой трафик (при условии что вы ISP) через СF , Бесспорно CF/Qrator намного лучше защитят конкретный сервис. Подобные же системы способны очень качественно и очень быстро реагировать на amplification(в первую очередь) атаки и служат скорее для защиты операторов , как первый щит, для более тонкой очистки есть другие системы (при необходимости часть трафика можно завернуть на очистку на них), которые ставятся каскадом.  

Наблюдая за одной такой системой установленой isp, фиксировали сотни атак на клиентов (в том числе шпд) , большей частью короткоживущие (чаще всего 5-10 мин, но бывали и те которые длились по часу и более). И отфильтровать подобное на CF , не представляется возможным.

[h3ll1]

On 6/16/2021 at 8:09 PM, jffulcrum said:

их сетью ловушек раннего предупреждения, терабитами каналов и терафлопсами мощностей

Я в високих ветвях провайдерского дерева. У меня устраивает дроп на 10г/64бит пакетов. Там что позади, я не знаю и не мое дело.

[Dimitry_Repan]

https://docs.mitigator.ru

 

1U сервер Supermicro с двумя Xeon Gold 6240R и двумя сетевыми картами ConnectX-5 Dual-port 100G QSFP28 честно перемалывает 200Gbps при 295Mpps.

 

При необходимости собирается в кластер с терабитной производительностью.

 

Достаточно много в продакшене - банки, госы, операторы, хостинги, игровые сервисы.

 

Всё на DPDK. Есть сертификат ФСТЭК РФ.