GD Star Rating
loading...

Всем доброй охоты!
О защите от гипотетического DDoS хоста с http/https на собственном сервере пост.

Я, конечно, погуглил, подумал и обзвонил, кого смог, но вопрос остался нерешенным.
Часть “защитников” говорит: “иди к нам на хостинг, у нас стоит большая железная хрень, которая от любого DDoS защитит”.
Вторая часть предлагает перенести к ним A-запись, мол дальше мы сами разберемся.
Третьи вообще говорят “привезем и установим пепяку, дальше никаких проблем не будет”.

Разброс цен – дичайший.
Уходить к кому-то на хостинг из соображений паранойи не хочется, но вдруг внезапно.

Потому вопрос, оставшийся нерешенным озвучиваю: Чо делать-то?

Tagged with →  

34 Responses to DDoS хоста с http/https на собственном сервере

  1. Giboff:

    Отдай A-запись. Самый простой и безболезненный вариант. Cloudflare, каспер, куратор и прочие.

  2. NarVelo:

    Уходить к кому-то.
    Ибо ддос в 100 мбит ты отобьешь на своем железе, а когда нальют 30-40 гбит – сдохнешь в любом случае.

  3. OcoLinux:

    Вопрос в том – не сдохнут ли и они?
    Отзывы на античатах и прочих околотематических форумах, плюс публикации на хабре не дают возможности оценить.

  4. OcoLinux:

    Спасибо, голос засчитан.
    P.S. неебические цены касперского убивают, конечно.

  5. NarVelo:

    Куратор лично мне очищал 50-60 гбит.

  6. OcoLinux:

    Данные во сколько вылилось секретны?

  7. OcoLinux:

    Т.е. через a-record?

  8. Giboff:

    они супер дешевые, как раз-таки. Они не нацелены на рынок мелких контор с сайтиками, у них крупные корпоративные заказчики. Там другие цены и другой бизнес. Что не отменяет факта, что касперовский сервис – не лучший выбор, впрочем.

  9. Giboff:

    cloudflare рассказывают, что поглощали до 120 Гбит/с
    http://blog.cloudflare.com/the-ddos-that

  10. OcoLinux:

    Т.е. это (http://softmag.ru/catalog/2827/18565) можно не рассматривать для приценки?

  11. Giboff:

    это какая-то херня )

  12. NarVelo:

    Нет – стандартный тариф. Около 15к в месяц.

  13. NarVelo:

    Да, именно так.

  14. OcoLinux:

    единственное, что нашел. Не сориентируешь тогда по цифрам?
    Я не ленивый, просто хочется найти бОльшую часть информации без обращения напрямую, т.к. предполагаю здесь ценообразование “сколько можете заплатить”. Зная примерную вилку – легче торговаться с такими.

  15. OcoLinux:

    Спасибо, принял информацию.

  16. Giboff:

    могу запросить у каспера цены GPL.

  17. OcoLinux:

    Если не составит труда, буду благодарен.
    На самом деле я себе составляю что-то типа примерного бюджета “в случае атомной войны”.

  18. Giboff:

    откопал прайс, да, там базовая цена 653400 за год (55500р в месяц), но непонятно из прайса, что входит в эту цену. Ну и это всего лишь GPL, от нее вполне может быть падение до 50%.

  19. OcoLinux:

    о чем и речь, да.
    Anyway, спасибо

  20. Giboff:

    напиши касперу письмо, спроси, что входит в базовую защиту. У них, по идее, есть разные тарифы. Этот, что я написал – это full-time, для тех, кого по три раза на дню заливают. Тебе можно их юзать по необходимости, только на время атаки (есть такой тариф), что поможет сильно сэкономить.

  21. OcoLinux:

    Спасибо, вариант, да.

  22. EkaYes:

    1. Отдавать А-запись.
    2. Обсудить с каждым потенциальным поставщиком услуги тарифы и условия, которые вас обоюдно устроят. Практика самая очевидная, но работает. Лично я не интересовался, но товарищ так выпросил как скидку, так и тестовый период(у куратора)

  23. OcoLinux:

    1. Спасибо
    2. Я по этому пути и иду, просто сначала по привычке делаю партизанский маркетинг и сводную таблицу тех, к кому стоит обращаться, их примерная вилка, отзывы и варианты работы.

  24. EkaYes:

    Автор, какие итоги?

  25. OcoLinux:

    Как я и говорил, ситуация гипотетическая, потому могу лишь озвучить вилку цифр по собранной информации.
    Здесь только русскоязычные:
    Нижняя ценовая категория $43-400
    Средняя ценовая категория $73-1625
    Верхняя ценовая категория $133-4000

  26. OcoLinux:

    это вилка гипотетических месячных подписок для одного хоста с переносом A-записи.
    Это без Драгонары, BlackLotus, Cloudflare и т.д.

    P.S. Я почему говорил – гипотетическая ситуация – мне защита не нужна, была задача лишь слегка промониторить сервисы, причем желательно русскоязычные.

  27. Giboff:

    месячных подписок на что?

  28. OcoLinux:

    99% сервисов продают месячные подписки (абонементы) на свой сервис. Т,е. если ты к ним обращаешься с намерением защититься, ты подписываешься на месячный абонемент.

  29. Giboff:

    прости, если я нечетко сформулировал. Что входит в эти деньги? У того же каспера есть три левела подписки, куратор вроде как за полосу (чистого) берет и так далее. Твои цифры выше, что они значат?

  30. Enobad:

    Как админ который делал защиту хер знает какому количеству хостов… лет 5 или более делаю.

    если ддосят всерьез, то реашает только промежуточный фильтр.
    cloudflare / qrator решают. Или группа своих прокладок. но зачем, если есть вышеупомянутые.

    Но таких ддосов мало. Большинство ресурсов ддосят сравнительно не сильно, и недолго.

    Решается настройкой файрвола, сравнительно несложных твиков системы, наличием правильной сетевой карты (интел ххх79 какойто, не рилтек) с некотроым твиком оной,
    и nginx фронтенд + некоторое админское шаманство

    шаманство в :
    – анализе логов nginx-а, и блоке ип-ов ддосеров
    – блочить надо через ipset
    – ограничение количества конектов с одного ип (и в файрволе и в nginx), тут же рейты в тех же местах.
    – часто помогает кеширование
    – часто помогает кусок кода в конфиге nginx, что не пропускает посетителей без поддержки js / установки нашешл cookie. Можно на флеше, но не делал ни разу. хватало js и методов упомянутых выше. (сети гугля яндекса пропускал отдельно). но это крайний метод, ибо есть и другие поисковики, а блоки сетей гугла как бы не совсем точны.

    Такой метод не помогает против флуда udp или dns poisoning кого попало… тут нужен CF/qrator или аналогичное. Или содействие датацентра по блоку на ваши ипы icmp/udp

  31. OcoLinux:

    Ты копаешь глубже, чем я.
    Моими задачами были:
    1) найти способ защиты с минимальными телодвижениями. В данном случае – трансфер А-записи.
    2) отфильтровать сервисы, т.е. реально существующие и живым хотлайном, с наличием каких-то отзывов и теоретической возможностью платить им безналом (опционально).
    3) определить ценовую вилку в разрезе – min, middle, max. Т.е. определить линейку цен (которой, собственно, и нет). Ширина полосы и прочие опции практически не рассматривались.

  32. Enobad:

    то что ты пишешь делает qrator.net

    ты меняешь ип для А записи на тот что выделит куратор. Можно несколько сайтов твоего сервера так перенаправить.

    отзывов по нему более чем достаточно.

    цену они чаще всего назначают порядка 17000 руб в мес + возможно захотят еще сверху за трафик, но тут как договоришься. Бывало и не платили. Оплата через безнал в РУ.

  33. OcoLinux:

    x-one: Меня, если честно, куратор не сильно впечатляет. Слишком уж распиаренный.

Добавить комментарий