Feniksovich
Пользователь
iptables -I INPUT 1 -s 128.128.128.128 -j DROP
Последнее редактирование:
RE4ERKA
Пользователь
- Сообщения
- 77
Блокируется не 194.147.90.101? Потому что это айпи сервера.
Feniksovich
Пользователь
Я 128.128.128.128 для примера написал, замени на нужный.
RE4ERKA
Пользователь
- Сообщения
- 77
Пока не можем тратиться на такую защиту, по этому нужны другие варианты.
Feniksovich
Пользователь
Да, поэтому я и говорю, что фильтрация не на хосте должна быть в идеале. Полагаю, тот чел с UDP флудилкой быстро наиграется, когда увидит, что пакеты больше не идут
Вот у Hetzner точно была возможность задать несколько правил для фаерволла перед хостом.
Объединено
Хотя, даже не знаю, там атака почти до 100 Гбит/сек доходит, это что за хост и энтузиаст такой, что так долбит с одного хоста (если нет подмены IP).
Объединено
У TCPShield есть бесплатный тариф. Или я ошибаюсь? Пробуйте и им пользоваться.
Последнее редактирование:
Причем тут флуд трафик? С чего ты взял что Прокси сервера это флуд трафик.
Флуд это уже когда дудосят как тса.
Наоборот 10 хостов разных = суммируется канал, именно так и работает tcpshield.
Кто кому оборвет связь? У конечного сервера или у части прокси серверов закроются порты?
Объединено
Ну если там 300гб/с то сеть хостинга должна упасть(эта атака всем клиентам хостинга мешает т.к общий канал хоста забивается),поэтому тса отключили,проще отключить чем защищать от 300гб/с.
Мне так ложили инет даже если все порты закрыл в роутере,порты закрыты а канал всеравно забит,ну потому что UDP пофик закрыты ли порты все, естественно там не 300гб/с была сила атаки а 1гб/с(потому что провайдера выдают Макс 1гб/с).
Последнее редактирование:
Feniksovich
Пользователь
Не понимаешь, о чем говорить. Перечитай мое сообщение ещё раз. Повторяю, размазывать нагрузку от левого трафика, дабы в надежде оставить канал на 10% доступным от его суммарного номинала, не лучшая идея.
По твоей логике tcpshield/cloudflare/ плохие,ведь они так же размазывают трафик и нечего же,все норм.
Это ещё называется:балансировка нагрузки.
Feniksovich
Пользователь
Какой смысл балансировать ЛЕВЫЙ трафик?
Эти компании балансируют нагрузку на свою инфраструктуру, чтобы не оказаться узким местом в случае выхода из строя или переполнения какой-либо части инфраструктуры, быть доступными с минимальной задержкой для клиента. Они не борются с атаками тупа размазывая левый трафик по всему миру через свои серверы.
Инфраструктура таких компаний включает в себя прежде всего аппаратно-программные средства, работающие в разы быстрее программного фаерволла. И обрубают они трафик ещё намного раньше, чем он дойдет до хоста, спасая его канал.
UDP это не атака даже а тупо забивание канала,если входной канал у хоста узкий то его забьют и весь хост сляжет и не спасет от положенной сети даже закрытие всех портов,тупо будут канал забивать пока не надоест, крч UDP опасная штучка.
Именно что если хостов 10 то канал будет 10гб/с,если сила атаки 5гб/с то не справится,если хост один то канал 1гб/с а сила атаки 5гб/с то дудос будет успешен.
Feniksovich
Пользователь
Так и чем же тогда поможет аренда десяти прокси-серверов, если пропускная способность канала каждого не превышает 1 Гбит/секунду, в то время как мы имеем дело с атакой, в десять раз превышающую искусственную сумму всех каналов этих десяти машин?
Отбрасывать левый трафик нужно заблаговременно, не разоряясь на такие неэффективные решения по прихоти таких троллей.
хостинг в основном имеет общий канал 15гб/с,то что выделяют 1гб/с не говорит том что у хостинга 1гб/с.
10 хостов разных = 150гб/с канал.
UDP flood считается атакой, потому что в первую очередь нацелена на перенагрузку машины из-за обработки пакетов. Жертва должна получить пакет, обработать и отослать ответ на фейковый адрес. А просто забить канал можно и любым другим флудом
Покупать вручную 10 дедиков для прокси не имеет никакого смысла. Воспользуйтесь лучше гигантами вроде TCPShield, у них канала точно хватит. Если пользоваться хорошим сервером, будет совсем плевать на размер атаки, это их работа - защищать от атак. Ещё и L7 дополнительно фильтруют, чтобы ботами сервер не закидали
TCP флудом не забить,потому что аипи забанил и все а UDP бесполезно банить,пакет всеравно долетит хоть и сервер не будет на него не как реагировать
