нужен ddos устойчивый хостинг

[lowtech]

Здравствуйте,

Прошу рекомендации, на сайт клиента 3 раза совершались ddos атака интенсивностью до 6 гбит / сек. Хостинги все реагировали очень медленно, в связи с чем клиент нес потери из-за лежащего или частично недоступного сайта. В связи с чем прошу рекомендации по хостингу с оперативным круглосуточным реагированием и заранее спланироваными мерами защиты, сценариями блокировки срабатывающими в автоматическом и полуавтоматическом режиме, с системой внешнего мониторинга и управления фильтрацией трафика.

Нужен в аренду выделенный сервак.

Спасибо,

Алексей

[siarzhuk]

Не там ищете.
Посмотрите на хостобзоре:
http://forum.hostobzor.ru/index.php?showforum=55

[Йода]

lowtech, спрсите Авелона. После тех жутких ддосов которые обрушивались на сапу в прошлом годе- он наверное чтото посоветует..

[seocore]

Цитата:

Сообщение от lowtech

Прошу рекомендации, на сайт клиента 3 раза совершались ddos атака интенсивностью до 6 гбит / сек.

откуда взялась циферка 6Гбит? - неужели вы ее смогли сами увидеть, при условии, что канал до вас 100мбит?

Цитата:

Сообщение от lowtech

Нужен в аренду выделенный сервак.

с 6Гбитным каналом?

вообще 6Гбит это приличная циферка, решить проблему фильтрации такого объема трафика весьма сложно...

если атаки идут вменяемые, т.е. не 6Гбит, а что-то в стиле 100-200Мбитного флуда, то можно предложить примерно такое:
1) размещаться в нормальных ДЦ, где адекватно оценивают атаки и трафик стоит не такие бешенные деньги
2) заказать в ДЦ персональный (хотябы бюджетный D-Link) свич-файрвол на 1Гбит (стоит такая штука порядка +50 баксов месяц)
3) на файре зарезать UDP/ICMP трафик начисто + перенастроить под оптимальную борьбу со SYN-флудом
4) ДНС доменов держать прямо на NS'ках регистратора доменов (у них как правило весьма мощный ДНС-кластер под эти цели используется, ддосеры школьнеги такой не уронят при всем своем желании)

на самой машинке: CSF + nginx limit_conn + limit_rate + нормальные таймауты на tcp, а также выверенные под ОЗУ машины значения mpm Apache (хотя лучше вообще от него отказаться в пользу nginx + fcgi)

ну и непосредственно отслеживать идущие запросы, анализировать общую логику и фильтровать это дело уже на уровне правил nginx, не допуская до Apache

[smbbws]

Цитата:

откуда взялась циферка 6Гбит?

имхо, скорее всего, это суммарный траффик идущий по нескольким магистралям на данный сайт. (типичный ДЦ сумма всех каналов 10Гбит.)
Помнится валуехост попал под подобную атаку, три для все сайты лежали...
толку от файрволов? если канал на почти ~100% забивается всякой фигней.

Цитата:

нормальные таймауты на tcp

флудят обычно под UDP.
поскольку этот протокол не требует подтверждения прихода пакета,
вполне реально флудить 10гбит траффика на сервер с 10мбитной сетевухой...
Реального траффика на дата центр "придет" как на 10гбит.

[seocore]

Цитата:

Сообщение от smbbws

имхо, скорее всего, это суммарный траффик идущий по нескольким магистралям на данный сайт. (типичный ДЦ сумма всех каналов 10Гбит.)
Помнится валуехост попал под подобную атаку, три для все сайты лежали...
толку от файрволов? если канал на почти ~100% забивается всякой фигней.

читайте внимательнее, что я писал выше...

Цитата:

Сообщение от smbbws

флудят обычно под UDP. Реального траффика на дата центр "придет" как на 10гбит.

а никто и не спорит, просто я спросил - откуда эта цифра? - многие хостеры любят привирать эти цифры...

как правильно сами заметили - типичный ДЦ - это 10Гбит, следовательно при 6Гбитах проблемы уже у всего ДЦ, так что уже поздно решать что-то на уровне сервера

а вообще - нет ничего нереального - приведу простой пример:
1) цена ВПСки = $30 (минимальная конфа + анлимит трафик)
2) покупается 20 ВПСок, это уже:
- 20х100Мбит = 2Гбит (UDP флуд до 2Гбит выдержит)
- затраты 20х30 = $600/месяц
3) на ВПСках делаются все нужные настройки + на ней размещен только собственно фронт-софт (к примеру nginx)
4) бэкэнд сервер разумеется мощная конфа + между ВПСками и бэкэндом подняты VPN тунели + все просто через proxy_pass на бэкэнд (прим. к nginx)

ну и разумеется ВПСки разнесены географически + в ДНС зоне домена прописаны A записи всех ВПСок...

схема достаточно устойчива к UDP-флуду + позволяет наращивать "кластер" по мере надобности, за ВПСками разумеется централизованный мониторинг + общий блэклист файрвола (корый тоже централизовано обновляется)...

при атаке на хост - боты рассеиваются по всему спектру ip-адресов всего кластера, ... при атаке на конкретный айпи (ну в случае если атакующие чайники), по сути дела выходит из строя одна из ВПСок (т.е. один фронт-сервер),...

[lowtech]

Спасибо большое. С vps не пришла в голову даж идея. seocore, можно обратиться за небольшой платной консультацией по настройке такой темы?