<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=KOI8-R" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Oleg Dambaev wrote:

<blockquote cite="mid20070515135900.GA4862@nya.ebash.ru" type="cite">

  <pre wrap="">On Tue, May 15, 2007 at 05:31:52PM +0400, Michael Vychizhanin wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">Oleg Dambaev wrote:

    </pre>

    <blockquote type="cite">

      <pre wrap="">On Mon, May 14, 2007 at 12:37:02PM +0400, kot wrote:

      </pre>

      <blockquote type="cite">

        <pre wrap="">Добрый день!

Прощу помощи у знающих людей и кто сталкивался атаками на свой сервер...

 Уже более 16 часов идет DDoS атака на сервер...  

Кол-во IP тысячи из разных сетей (пытался болчить ipfw), но толку ноль... 

Скорее всего у атакующего целый

ботнет... 

спасибо

        </pre>

      </blockquote>

      <pre wrap="">Если не ошибаюсь есть железное решение этого вопроса, но оно довольно 

дорогое.

Опять же исходя из соображений, если сайт в результате простоя теряет 

$40000 ежечасно, то есть резон воплотить это решение в жизнь.

Называется оно, если не изменяет память, Cisco Guarder, позволяет 

фильтровать по _трафик_ (не хосты или сетки) по каким-то определенным 

признакам.

      </pre>

    </blockquote>

    <pre wrap="">Да, но опять же, какие нагрузки в свою очередь может держать эта железка?

Не так давно имел DDoS с Cisco PIX515 на входе и около 700000 запросов в 

    </pre>

  </blockquote>

  <pre wrap=""><!---->

Точно сейчас не скажу по цене, но одно время это решение было не по карману "немаленькому" ISP, в отличие от PIX. Выводы делайте сами. Может я покажусь заносчивым, но у меня есть основания доверять Cisco при их заявлениях, что "это решение лучше не потому что дороже, а потому что лучше", даже в сравнении с PIX.

Советую ознакмиться <a class="moz-txt-link-freetext" href="http://cisco.com/en/US/products/ps5894/index.html">http://cisco.com/en/US/products/ps5894/index.html</a>

  </pre>

</blockquote>

Собственно вопрос так и стоит, есть ли смысл покупать данную железку

(по примерным данным стоимость ее вне Росии будет около 50K) . И подход

именно такой, что дело не в деньгах, а в разумности покупки. К Cisco

отношусь с настороженностью в области конкурентных решений низшего

звена, когда можно найти адекватную замену у другого производителя. При

серьезных и мощных же железках экономия боком потом выйдет.<br>

<br>

<blockquote cite="mid20070515135900.GA4862@nya.ebash.ru" type="cite">

  <pre wrap="">

  </pre>

  <blockquote type="cite">

    <pre wrap="">течение 5 минут. Пикс отправлял в черную дыру около 70% всего трафика, с 

консоли был виден тем не менее, но все таблицы трансляций (а он все-таки 

не маршрутизатор, а фаерволл) были переполнены, память была забита 

полностью, все что было за пиксом не было практически видно.

    </pre>

    <blockquote type="cite">

      <pre wrap="">Ну а поскольку у атаки как правило есть какой-то объединяющий признак, 

задать железке этот признак, как нежелательный и подлежащий отсечению, 

труда не составит.

Еще раз замечу, это решение будет выгодно и правильно только при "бизнес 

потеряет больше, если не поставит железку".

      </pre>

    </blockquote>

    <pre wrap="">

-- 

Michael Vychizhanin

    </pre>

  </blockquote>

  <pre wrap=""><!---->

  </pre>

</blockquote>

<br>

<br>

<pre class="moz-signature" cols="72">-- 

Michael Vychizhanin

</pre>

</body>

</html>