<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=KOI8-R" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Oleg Dambaev wrote:
<blockquote cite="mid20070515125653.GA1463@nya.ebash.ru" type="cite">
  <pre wrap="">On Mon, May 14, 2007 at 12:37:02PM +0400, kot wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">Добрый день!
Прощу помощи у знающих людей и кто сталкивался атаками на свой сервер...

  Уже более 16 часов идет DDoS атака на сервер...  
Кол-во IP тысячи из разных сетей (пытался болчить ipfw), но толку ноль... Скорее всего у атакующего целый
ботнет... 


спасибо

    </pre>
  </blockquote>
  <pre wrap=""><!---->
Если не ошибаюсь есть железное решение этого вопроса, но оно довольно дорогое.

Опять же исходя из соображений, если сайт в результате простоя теряет $40000 ежечасно, то есть резон воплотить это решение в жизнь.
Называется оно, если не изменяет память, Cisco Guarder, позволяет фильтровать по _трафик_ (не хосты или сетки) по каким-то определенным признакам.
  </pre>
</blockquote>
Да, но опять же, какие нагрузки в свою очередь может держать эта
железка?<br>
Не так давно имел DDoS с Cisco PIX515 на входе и около 700000 запросов
в течение 5 минут. Пикс отправлял в черную дыру около 70% всего
трафика, с консоли был виден тем не менее, но все таблицы трансляций (а
он все-таки не маршрутизатор, а фаерволл) были переполнены, память была
забита полностью, все что было за пиксом не было практически видно.<br>
<br>
<blockquote cite="mid20070515125653.GA1463@nya.ebash.ru" type="cite">
  <pre wrap="">Ну а поскольку у атаки как правило есть какой-то объединяющий признак, задать железке этот признак, как нежелательный и подлежащий отсечению, труда не составит.

Еще раз замечу, это решение будет выгодно и правильно только при "бизнес потеряет больше, если не поставит железку".


  </pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 
Michael Vychizhanin
</pre>
</body>
</html>