Услуги по защите от DDoS - достаточно ли они хороши? [duplicate]
На этот вопрос уже есть ответ здесь:
- Я подвергаюсь DDoS. Что я могу сделать? 5 ответов
Во-первых, я понимаю, что лучше иметь защиту от DDoS на уровне центра обработки данных. Но наш ЦОД не готов обеспечить хорошее качество защиты. Поэтому мы думаем об использовании внешнего сервиса защиты от DDoS.
Я нагуглил несколько, например (извините, не могу разместить много ссылок):
- http ://blockdos.net/
- http ://www.armoraid.com/
- http ://www.blacklotus.net/
- http ://ddosprotection.com/
- http ://www.level3.com/index.cfm?pageID=555
Общая идея заключается в том, что вы меняете DNS, чтобы указать на службу защиты от DDoS. Они фильтруют трафик для вас, а затем перенаправляют его на ваш бэкэнд. Таким образом, это добавляет небольшие временные затраты, но позволяет вашему сайту быть живым даже при DDoS.
Но это очень просто - написать что-нибудь на сайте. Мой вопрос: есть ли у кого-нибудь опыт работы с таким сервисом? Действительно ли он помогает против DDoS?
Эти типы сервисов могут быть довольно дорогими, и если у Вас нет наличных денег для поглощения его, деточки сценария могут просто увеличить свою огневую мощь быстро путем увеличения нападения в зону мульти-Гбит/с, которая будет стоить Вам вполне немного. Большинство из них имеет тенденцию требовать, чтобы у Вас был он работающий, перед обнаружением с проблемами поскольку они работают путем анализа шаблонов в трафике.
Мне удалось парировать середину DDos-атаки класса (10K req/sec) год назад путем установки NGINX как обратного прокси перед апачем. Почти весь трафик DDoS имеет что-то общее, часто User-Agent строка. Просто определите общность и используйте c10k-способный прокси как NGINX для отбрасывания того трафика атаки при передаче реального трафика к нормальному веб-серверу.
FWIW: Мой опыт использовал 10-летние аппаратные средства рабочее Ядро Fedora 1 на интернет-восходящем канале на 100 Мбит. Уровень трафика атаки был поддержан в течение 1 недели, но настоящие клиенты никогда не замечали понижения функционирования сайта. Просто остерегайтесь зарядов пропускной способности.
Что касается коммерческих операций, которые, по-видимому, делают в значительной степени ту же самую вещь, я не могу вообразить, почему они не работали бы. Это не хирургия ракеты.
Ползунки для prolexic - они делают хорошее задание. - это дорого, но они были ранними к игре, и на основе моего опыта предоставляют хорошую услугу.
Я никогда не использовал такие сервисы, но это зависит от типов нападений, которые Вы получаете. Если они - просто нападения стиля пропускной способности и просто заполнение Вашего канала, единственный способ пойти состоит в том, чтобы нанять сервис как они или распределять Ваши серверы через многие каналы и дата-центры.
Если бы они используют приложение или протокол затем, я обработал бы это с изменениями конфигурации на Вашем конце.
У меня есть опыт работы со службами защиты от DDoS-атак Verisign. Они дорогие, но работают хорошо.