[как бороться с ddos?]

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите

Можно еще попытаться попросить у аплинкеров QoS. Пусть поставят наихудший приоритет в аплоаде на Вас трафику UDP за исключением DNS. Тогда во время ддоса у Вас пакет-лос будет на трафике торрентов и ддоса.

[как бороться с ddos?]

А вот про ментов и ддос, это конечно оч интересно. 

 

Во-первых, с погонами бывают далеко не только менты. Во-вторых, в этой фразе "ддос" - в переносном смысле конечно же. Там ключевая фраза "завалить провайдера".

[как бороться с ddos?]

 

 

а чтобы завалить провайдера заказывают ддос у людей с погонами.

А ну поподробней?

 

Мсье россиянин)

 

Зомбанутый?

http://local.com.ua/forum/topic/63575-%D0%BE%D0%B1%D1%8B%D1%81%D0%BA-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0-%D0%BF%D1%80%D1%8F%D0%BC%D0%BE-%D1%81%D0%B5%D0%B9%D1%87%D0%B0%D1%81-%D0%BA%D0%B0%D0%BC%D0%B5%D0%BD%D0%B5%D1%86-%D0%BF%D0%BE%D0%B4%D0%BE%D0%BB%D1%8C%D1%81%D0%BA/

у этого мсье спросите, может он тоже россиянин?

[как бороться с ddos?]

 

Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.

 

Какие-то у вас ддосеры неправильные. Давно я не слышал об атаках в 1-2...6Г. 20-30Г - сталкивался, а вот с мелкими нет... Да еще и 6Г в течении 3-4 дней... Не знаю... Лучше бы тот ддосер мне отдал деньги, которые он за 3-4 дня ддоса получает...

 

Может причина в том, что Вы хостер? Кому надо ддосить 30-ю Г адреса домоюзеров? - разве что в виде отладки бот-нета или просто поприкалываться. В этой стране чтобы завалить хостинг заказывают ддос у хакеров, а чтобы завалить провайдера заказывают ддос у людей с погонами.

[как бороться с ddos?]

Зарезать порт не выход! Вообще зарезать что-либо не выход! Хоронить трафик у себя, даже в блэкхол - НЕ ВЫХОД! Блэкхол надо отдавать! Толку с блэкхола, если канал забит один хрен, а вы принимаете трэш и хороните его на своей территории?

У меня на каждом из аплинков стыки 10Г, а покупаются реальные полосы 2-4Г. При этом есть договоренность, что ни один из аплинков не шейпит и не полисит каналы. Просто если мы начинаем перебирать лимиты по полосе регулярно, то аплинк начнет переговоры о повышении платежа. То есть, мы спокойно можем принять ддос в пределах 6Г на любом из аплинков и спокойно убить его ацл на входе бордера. Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.

[как бороться с ddos?]

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера.

 

 

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =)))

 

Чтобы ддос-трэш не дошел до таргета

 

 

Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий.

 

1. Я исправил свой пост.

2. Блэкхол - это Л3-операция. ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры. А ACL входящего трафа на порту - это дешевейшая Л2-операция в асике на порту. Так что самая лучшая фильтрация - это дэни-ацл на входе.

[как бороться с ddos?]

друзья, все очень круто, спасибо

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик

Коллега, Вы в курсе чем UDP от TCP отличается?

[как бороться с ddos?]

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

[как бороться с ddos?]

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

[как бороться с ddos?]

АС рубать бесполезно - от входящего мусора не избавит.

 

deny source ip 176.111.79.0/24 proto udp на железяке перед насами (на бордере).

[Продам медиаплееры МАГ 250 в Крым]

А в чем профит?

По такой цене можно купить такую партию и в РФ. А за налик и дешевле. При этом не надо париться с самовывозом через 2 таможни, само приедет обычной курьерской перевозкой.

[Отключения электроенергии]

 

Порошенко наказав припинити віялові відключення світла

 

Президент доручив уряду відновити повноцінну роботу Запорізької АЕС

http://ukr.segodnya.ua/ukraine/poroshenko-prikazal-prekratit-veernye-otklyucheniya-sveta-580843.html

приказать то можно , а как будет в реалии, все таки атомная - шутить нельзя

 

http://www.gazeta.ru/social/news/2014/12/28/n_6788681.shtml

 

П.С. Обратите внимание - экспериментировать стали именно с ЗАЭС. Не с Волынской, Хмельницкой или Южноукраинской, а именно с Запорожской. Ипанет - не жалко?

[ИБП на 2 часа 650 ватт под автомобильные аккумуляторы]

http://linecom.ua/index.php?article=4726

 

У нас парочка вот таких стоит:

http://linecom.ua/index.php?article=5633

Довольны, претензий нет.

[Ищу работу в Киеве. Переехал из Луганска]

В личку отписал.

[Ищу работу в Киеве. Переехал из Луганска]

.

[Включение в UAIX]

 

 

 

Что Гигатранс, что Д-ТЕЛ значительно обходят ЮАИХ по объему трафика. Причина проста до банальности - UA.IX вставляет в AS-PATH свой ASN, уменьшая тем самым приоритет своих пиров с теми, кто юзает сразу несколько точек обмена (то есть у 95% операторов страны с емкостью 5к+ абонентов). Не прошло и 5-ти лет, как они решили исправить сие досадное обстоятельство .

Процедура вступления - еще одна досадная формальность, оставшаяся рудиментом с конца 90-х годов, когда 3 провайдера были единственными вершителями судеб с этой стране. Но и эта пичаль уже намного упростилась.

И таки да, это на сегодня самая дешевая IX в мире с объемом трафа 200+ Гб.

За Дтел знаю, а кто такие Гигатранс ?

Скорее с гиганет спутали

 

 

 

А разве у Гиганета разве больше трафика чем у UAIX ?   На их сайте не нашел кол-во участников в точке обмена.

 

Да, конечно же Гиганет. Сорри!

 

http://giganet.ua/stats/

 

http://ua-ix.net.ua/statistics.phtml

 

http://dtel-ix.net/index.php/stats

 

ИМХО, после того как UA.IX перестанут вставлять свой asn в as-path, у всех трех точек траф выровняется примерно поровну до 350-400 Гбит. Количество участников уже особой рояли не играет, ибо на всех точках присутствуют одни и те же крупняки (практически все).

То, что в Украине есть 3 равноценных икса - it's very very good!

[Все повышаем тарифы или скоро нас не останется...]

 

 

 

[-RaY' timestamp=1393600812' post='543732] Для себя я планирую просто, первым шагом, добавить к текущим тарифам ~20%(это минимум, но такие незначительные перемены поймут абоненты) вместо 60 грн 80 грн 100 грн сделать 80 грн 100 грн 120 грн.

 

Судя по всему у топикстартера сейчас должны быть тарифы 160 гривен, 200 гривен, 240 гривен. А теперь подумайте, кто станет столько платить за интернет сегодня?

Заканчивайте бадегу - идите работать. Моё поколение еще помнит купоны и миллионы в карманах. Пробьёмся. Не в первый раз такое.

 

Не соглашусь. Платить будут, даже по 200 или 240. Помню времена когда бензин стоил 4.50. Все заправлялись. Сейчас бензин по 18.50 и все все так же заправляются. Обращаю ваше внимание что зарплаты с 2008 года те же у людей.

 

так то ж бензин, а "интернет вы берете бесплатно где-то, а нам продаете. вы просто знаете где подключиться к большому интернету, чтобы брать его бесплатно!"

 

Это без сомнения весомейший аргумент, чтобы отказаться от собственной нормы прибыльности!

[Отключения электроенергии]

 

 

 

Зранку пішли відключення як звично...

Зато в Крыму второй день не отключают))

 

та щаз

товарищ звонил, грит у него в севасе 2 часа есть, 2 часа нет....

 

Ну тогда не знаю В моих районах больше не отключают, и вообще не слышал об отключениях

Отключают, но уже не везде. Крым, он хоть и маленький, но все же большой . У энергетиков своя кухня с сетями, они не везде пока могут сбалансировать потребление в рамках установленных лимитов.

Вот построят канатную дорогу в Керчи, будут мегаватты завозить с Тамани вагончиками - вот тогда перебои и прекратятся.

[Включение в UAIX]

Что Гигатранс, что Д-ТЕЛ значительно обходят ЮАИХ по объему трафика. Причина проста до банальности - UA.IX вставляет в AS-PATH свой ASN, уменьшая тем самым приоритет своих пиров с теми, кто юзает сразу несколько точек обмена (то есть у 95% операторов страны с емкостью 5к+ абонентов). Не прошло и 5-ти лет, как они решили исправить сие досадное обстоятельство .

Процедура вступления - еще одна досадная формальность, оставшаяся рудиментом с конца 90-х годов, когда 3 провайдера были единственными вершителями судеб с этой стране. Но и эта пичаль уже намного упростилась.

И таки да, это на сегодня самая дешевая IX в мире с объемом трафа 200+ Гб.

[Яка вартість документів ?]

Документы, которые должен иметь провайдер (не считая стандартных доков для каждого бизнеса):

 

1. Выписку из госреестра НКРС о регистрации оператора/провайдера в этом реестре.

 

2. Решение органов местного самоуправления о разрешении оператору/провайдеру строить сети в данной

местности.

 

3. Если оператор САМ строит свои сети (без подрядчиков), то он должен иметь строительную

лицензию на монтажные работы. Иначе таковую лицензию должен иметь подрядчик + договор с подрядчиком.

 

4. Проект кабельной сети. Сети связи относятся к 1-й категории опасности объекта строительства,

категории 1-3 проектной экспертизе по закону не подлежат. Проектант должен иметь сертификат

ГИП. Проект подлежит технадзору (нужен договор о надзоре с представительством технадзора).

 

5. Договоры с балансодержателями зданий на размещение там объектов сети. Если используются,

то также надо иметь договор о совместном подвесе кабеля связи на опорах электросети и

о совместном использовании кабельной канализации.

 

6. Договор с ОблЭнерго (РЭС) об электропитании коммутаторов на домах и разграничении зон

ответственности (ведомость коммутаторов, шаблонный типовой проект подключения, безучетное

потребление).

 

7. Уведомление ГАСК о начале строительства, а затем о вводе сети в эксплуатацию.

 

8. Акт ввода сети в эксплуатацию. Это внутренний документ предприятия, приемная комиссия

состоит из директора, бухгалтера (по смете строительства выводит балансовую стоимость вводимого

объекта), бригадира монтажников, если был подрядчик то представитель подрядчика.

 

9. Для монтажников надо иметь оформленные допуски для работ повышенной опасности (на высоте)

и с электрооборудованием напряжением до 1000 Вольт.

 

Перечисленные доки обосновывают ПРАВО оператора/провайдера на владение сетью и на эксплуатацию этой сети в случае какой-либо проверки. Чисто теоретически, платные только пункты 4 (платные услуги проектировщика) и 9 (платные курсы в учебном центре), остальное оформляется бесплатно. Но, на практике в конкретных случаях дополнительные расходы могут возникать на каждом пункте...

[Вега-Укртелеком]

 

По донецку тоже в 2077 году, почти весь город оптикой обтянули.

 

Герасимов, ты?

 

Общаетесь с голосами из будущего?

[много имеют свои каналы связи из за рубежа?:)]

 

у сфері телекомунікацій з імпорту міжнародного трафіку на територію України

А если экспорт превалирует над импортом?

Точно! Надо направить в рабочую группу по законопроекту предложение ввести еще и лицензирование экспорта трафика. А то и вправду нелогично как-то... 

[куплю блок питания AC Cisco SCE-2000]

Ищу редкий реликт - блок питания AC Cisco SCE-2000.

Коллеги! Может у кого завалялось, или есть возможность подкупить на е-бае?

[Продам трафик в Джанкое,Октябрьское, Войково,Гришине,Новосельское,Степовое]

кто не успел или не смог успеть("продаться, отдаться") - просто и банально, получил на свою шею чистой воды отжим.

 

Не обобщайте. "Порешали вопросы" лишь с операторами мобильной телефонии. Это вполне ожидаемо, ибо это все таки стратегическая сфера. Укртелеком вон и то не тронули. Интернет провайдеров особо не тревожили, просто многим пришлось перезаключать договоры с новыми магистралами

[Продам трафик в Джанкое,Октябрьское, Войково,Гришине,Новосельское,Степовое]

Все очень тривиально и просто. Никто никакие кабели и волокна не рубил и не выкапывал. Просто сменились владельцы.

Первым в Крыму возник оператор "Миранда Медиа" - 100% дочка Ростелекома. Они полностью выкупили магистральные кабели у Атракома и Даты и все сети ШПД Даты. По сути, весь штатный состав Атракома в Крыму в одночасье стал штатным персоналом Миранды. Соответственно, у всей толпы "псевдо-магистралов", кто арендовал лямбды и волокна у Атракома, однажды случились большие проблемы... Так перестали существовать в Крыму Лайфы, даблы и прочие.

Вторым в Крыму возник оператор "К-Телеком" - типа независимый, но мы-то с вами понимаем, что там очень сильно торчат уши МТС. Потому как этот новоиспеченный и никому не известный оператор вдруг в один день не понять как стал почему-то владельцем всей инфраструктуры "МТС-Украины" в Крыму (магистрали, узлы и соты) и запустил новую сотовую связь. Соответственно, кто заходил с Украины в Крым по лямбдам в кабеле МТС - тоже поимели проблемы.

Затем тупо выключили сеть у КС. Просто выключили и все, без комментариев. Наверное за неуплату... Их оптика так и висит бесхозными воздушками по всем городам Крыма. Кому нужны неплохие кабели 24 на тросу - приезжайте снимайте на халяву. Кабеля реально дохера. Думаю, свичи на домах тоже абсолютно бесхозные, кому надо - уже вовсю потырили.

Третьим в Крым зашел краснодарский "Юг-Телеком". Эти выкупили ВОЛС и узлы Пиплов.

Нетронутым пока только остался ЕТТ, ибо у них кабель чисто свой и в нем Ж/Д, которые неприкосновенные . Всех остальных "тронули". Но в ЕТТ люди с мозгами, они переоформляют крымскую сеть на росиянскую дочку.

Таким образом, на сегодня готовятся оформлять трансграничные переходы 3 магистральных оператора - Миранда, Юг-Телеком и то, во что перерегистрировались ЕТТ. Соответственно, все выходы на материк только через них. Миранда продает трафик ТОП-Нета/ДГ, у ЕТТ трафик свой, Юг-Телеком трафиком пока не торгует - только транспорт. Ну и плюс ко всему у Миранды есть свой кабель из Керчи в Тамань - стык с Ростелекомом.

Да, еще Интертелеком попытался по-быстрому оформить все лицензии. Оформил, на все кроме частот . Что они будут делать в Крыму без частот не понятно...