DD,
kdyz prepnes na zalohu, DDoS utok se na ni preleje IMHO taky. Cili reseni je IMHO na paternim prvku bud odfiltrovat (drive nez to ucpe dalsi linky - automaticke reseni neni levne takze rucne a to pujde jen u dele trvajicich a dost specifickych utoku) nebo mit tak tluste linky aby bezny utok linky neucpal.
Nedavno volal syn zakaznika (pubertalni vek) jestli je mozne, aby mu nekdo na dalku zrusil pripojeni. Ukazalo se, ze nastval nejakeho admina v jakesi hre a ten typek mu po Skypu oznamil a od ted Ti nepojede pripojeni. Zpetnou analyzou se zjistilo, ze na zakaznika se rozbehlo par desitek tisic packetu/sec z open SSDP zarizeni. Takze nekdo poslal packety se zfalsovanou IP (namirenou na naseho zakaznika) na par desitek tisic open SSDP routeru...
Takze bych touto cestou rad apeloval na ty ISP, kteri jeste nefiltruji odchozi IP adresy z vlastni site (povolit odejit jen src IPcka, ktera maji pridelena). Pokud by takovy filtr mel kazdy ISP, tyhle utoky by bezny script kiddie nebyl schopen odpalit (uz by musel mit vlastni botnet nebo by mel k dispozici napadnutelne stroje jen v siti jednoho ISP). V optimalnim pripade jeste filtrovat na CPE, co muze odeslat konkretni zakaznik (ochrana vlastni site)
Uz jsem se na tohle tema s jinymi ISPiky rozvasnil nekolikrat a vzdy jsme dosli ke stenemu zaveru. Proste neni mozne abych na 1 Gbps pripojce dokazal odfiltrovat utok o 7 Gbps. Jedine co je mozne a co uz umim. Kdyz mam svoje vlastni ASko a vlastni adresy na svem BGP routeru, tak v pripade utoku schodit ten subnet na ktery utok jde a zbytek site bude zit. Ovsem to nepovazuji ani za reseni.
Jak chcete "odfiltrovat" utok ktery Vam musi NEJPRVE prijit na firewall / shaper kde by melo tedy dojit k nejake filtraci treba 10 Gbps ? Jak to chcete filtrovat kdyz trubka ktera vede do firewalu / shaperu je jen 1 Gbps s burstem na 3 Gbps a vy tam mate pritok 10 Gbps ? Jediny kdo toto muze odfiltrovat je ten vetsi a silnejsi nademnou. Tj. Bud poskytovatel konektivity a nebo zahranicni partner na tranzit.
Mame nachystanou technologii na 10 Gbps vstup a okruh pak 1 Gbps = pokud utok bude nizsi nez 10 Gbps, tak prezijeme. Protoze do okruhu pustim jen ten provoz, ktery chci. Ale pokud prijde utok 10.1 Gbps, tak uz neodfiltruji nic.
A v teto fazi me vetsina lidi rikala teorie jak by to melo jit, ze je to preci easy atp... Treba to fakt easy je, ale vzdy ja + hapi vs nedo jiny jsme dosli k zaveru ze to proste nejde. Protoze to VZDY prijde az na router.
A co se samotneho prepnuti zalohy tyce, tak tam se zadny DDoS nepreleje. Protoze ty DDoS utoky jsou na nasi hostingovou divizi, ale o zaloze se tu bavim pro bezne ISP sluzby pro ktere je hlavni GW prave ta nase hostingova divize.
Takze kdyz spadne hlavni brana na optice ( tj. nejaky router na sii si nepingne pres nastavenou GW na google dns napriklad ), tak prepne na zalohu. Jenze kdyz je utok, tak ta brana nespadne uplne protoze si obcas pingne.