alex_o

Можно еще попытаться попросить у аплинкеров QoS. Пусть поставят наихудший приоритет в аплоаде на Вас трафику UDP за исключением DNS. Тогда во время ддоса у Вас пакет-лос будет на трафике торрентов и ддоса.

Во-первых, с погонами бывают далеко не только менты. Во-вторых, в этой фразе "ддос" - в переносном смысле конечно же. Там ключевая фраза "завалить провайдера".

А ну поподробней? Мсье россиянин) Зомбанутый? http://local.com.ua/forum/topic/63575-%D0%BE%D0%B1%D1%8B%D1%81%D0%BA-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0-%D0%BF%D1%80%D1%8F%D0%BC%D0%BE-%D1%81%D0%B5%D0%B9%D1%87%D0%B0%D1%81-%D0%BA%D0%B0%D0%BC%D0%B5%D0%BD%D0%B5%D1%86-%D0%BF%D0%BE%D0%B4%D0%BE%D0%BB%D1%8C%D1%81%D0%BA/ у этого мсье спросите, может он тоже россиянин?

Какие-то у вас ддосеры неправильные. Давно я не слышал об атаках в 1-2...6Г. 20-30Г - сталкивался, а вот с мелкими нет... Да еще и 6Г в течении 3-4 дней... Не знаю... Лучше бы тот ддосер мне отдал деньги, которые он за 3-4 дня ддоса получает... Может причина в том, что Вы хостер? Кому надо ддосить 30-ю Г адреса домоюзеров? - разве что в виде отладки бот-нета или просто поприкалываться. В этой стране чтобы завалить хостинг заказывают ддос у хакеров, а чтобы завалить провайдера заказывают ддос у людей с погонами.

У меня на каждом из аплинков стыки 10Г, а покупаются реальные полосы 2-4Г. При этом есть договоренность, что ни один из аплинков не шейпит и не полисит каналы. Просто если мы начинаем перебирать лимиты по полосе регулярно, то аплинк начнет переговоры о повышении платежа. То есть, мы спокойно можем принять ддос в пределах 6Г на любом из аплинков и спокойно убить его ацл на входе бордера. Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =))) Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий. 1. Я исправил свой пост. 2. Блэкхол - это Л3-операция. ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры. А ACL входящего трафа на порту - это дешевейшая Л2-операция в асике на порту. Так что самая лучшая фильтрация - это дэни-ацл на входе.

Коллега, Вы в курсе чем UDP от TCP отличается?

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку. Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем. Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

АС рубать бесполезно - от входящего мусора не избавит. deny source ip 176.111.79.0/24 proto udp на железяке перед насами (на бордере).

А в чем профит? По такой цене можно купить такую партию и в РФ. А за налик и дешевле. При этом не надо париться с самовывозом через 2 таможни, само приедет обычной курьерской перевозкой.

приказать то можно , а как будет в реалии, все таки атомная - шутить нельзя http://www.gazeta.ru/social/news/2014/12/28/n_6788681.shtml П.С. Обратите внимание - экспериментировать стали именно с ЗАЭС. Не с Волынской, Хмельницкой или Южноукраинской, а именно с Запорожской. Ипанет - не жалко?

http://linecom.ua/index.php?article=4726 У нас парочка вот таких стоит: http://linecom.ua/index.php?article=5633 Довольны, претензий нет.

В личку отписал.

.