Привет всем.
Значит родился у меня вопрос.
Исходная ситуация:
своя стойка в дата центре, стандартная на 42 юнита.
5 серверов под шеред хостинг + файловые хранилищаи даже свой упс(наверно был параноиком когда покупал, у дата центра как бы свои упс и дизели).
Внутренний и внешние 1гбпс роутеры, внешний управляемый, внутренний нет.
Канал 1gbps committed on 100(при 5%).
Потребление сейчас около 50мбпс + растет довольно быстро.Замучали dos, ddos и флуд атаки.
У дата центра есть модули на внешних корневых роутерах(6500 сиськах)...но они пропускают довольно большие аттаки к нам внутрю. Причем как вы понимаете если ложится сервак с 20о клиентами и 500 доменами головняка....больше чем достаточно. Вот и задался вопросом защиты.
Опыта с вопросами борьбы с ддос на аппаратных уровнях нет, "кустарными" методами естественно боролся, типа временный бан повторявшихся ip адресов и т.д. но это не сильно эффективно получается.
В конце концов посоветовали Cisco ASA 5500. Никогда не работал с ним.
Может чего-то посоветует специ. Возможно какие-либо другие решения, при которых мои клиенты могли бы спать спокойно, даже если их флудят или ддосят. Желательно до 5к $.Понятно, если аттака будет выше 1гбпс то никакия сиська не поможет...но реалистично таких атак 1 раз в 10 лет...
>[оверквотинг удален]
>естественно боролся, типа временный бан повторявшихся ip адресов и т.д. но
>это не сильно эффективно получается.
>В конце концов посоветовали Cisco ASA 5500. Никогда не работал с ним.
>
>Может чего-то посоветует специ. Возможно какие-либо другие решения, при которых мои клиенты
>могли бы спать спокойно, даже если их флудят или ддосят. Желательно
>до 5к $.
>
>Понятно, если аттака будет выше 1гбпс то никакия сиська не поможет...но реалистично
>таких атак 1 раз в 10 лет...Посмотрите вот это может подойдёт
http://www.sovtel.ru/cgi-bin/products.pl?id=182
ASA5500 не спасает от DDoS атак. Смотрите в сторону Cisco Guard & Detector. Detector надо разместить у вас, а Guard - у вашего провайдера. Решение дорогое, но очень хорошо работает.
>ASA5500 не спасает от DDoS атак. Смотрите в сторону Cisco Guard &
>Detector. Detector надо разместить у вас, а Guard - у вашего
>провайдера. Решение дорогое, но очень хорошо работает.Насколько я понял это модули для 6500 и 7000 серии...мужики, я рад бы, но это денег стоит нерельных да и сам подуль...я пока цен не нашел, ну так дамаю все решение легко в 50к станет
хех...да пусть лутше народ с ддосами и флудом мучается :) :)
У меня нет потребностей в подобных мощностях...если крупная ддос идет все-равно все отрубится на более верхнем уровне, уж не говоря о том что можно лоад балансировку и роунд робин-а поставить...но это все замечательно, хотелось бы решение типа, денег заплатил и забыл...но тока не до такой степени дороговизны.
>[оверквотинг удален]
>Насколько я понял это модули для 6500 и 7000 серии...мужики, я рад
>бы, но это денег стоит нерельных да и сам подуль...я пока
>цен не нашел, ну так дамаю все решение легко в 50к
>станет
>хех...да пусть лутше народ с ддосами и флудом мучается :) :)
>У меня нет потребностей в подобных мощностях...если крупная ддос идет все-равно все
>отрубится на более верхнем уровне, уж не говоря о том что
>можно лоад балансировку и роунд робин-а поставить...но это все замечательно, хотелось
>бы решение типа, денег заплатил и забыл...но тока не до такой
>степени дороговизны.решений заплатил и забыл несуществует!
его как минимум надо ещё и поддерживать, и учить новые типы атак отражать.
Забудь про АСУ, здесь решение Cisco IPS постарше серии.И до 5к$ не получится, если речь идет о центре обработки данных, то не экономят.