Во-первых, я понимаю, что лучше иметь защиту от DDoS на уровне дата-центра. Но наш ДЦ не готов обеспечить хорошее качество защиты. Поэтому мы думаем об использовании какой-нибудь внешней службы защиты от DDoS-атак.
Я погуглил несколько, например (извините, не могу опубликовать много ссылок):
Общая идея заключается в том, что вы меняете DNS, чтобы указать на службу защиты от DDoS-атак. Они фильтруют трафик за вас, а затем перенаправляют его на ваш сервер. Таким образом, это добавляет небольшие накладные расходы, но позволяет вашему сайту быть живым даже при DDoS.
Но написать что-то на сайте очень просто. У меня вопрос: есть ли у кого-нибудь опыт работы с подобным сервисом? Это действительно помогает от DDoS-атак?
Эти виды услуг могут быть довольно дорогими, и если у вас нет денег, чтобы их поглотить, скриптовые кидди могут просто быстро увеличить свою огневую мощь, увеличив атаку в зону с несколькими гигабитами в секунду, что будет стоить вам довольно много. Большинство из них, как правило, требуют, чтобы вы запустили его, прежде чем вы столкнетесь с проблемами, поскольку они работают, анализируя шаблоны трафика.
Поднимите палец вверх для prolexic - они делают хорошую работу. - это дорого, но они пришли в игру рано и по моему опыту предоставляют хороший сервис.
Год назад мне удалось отразить DDoS-атаку среднего уровня (10 000 запросов / сек), настроив NGINX в качестве обратного прокси перед apache. Практически весь DDoS-трафик имеет что-то в общем, часто User-Agent строка. Просто определите общность и используйте c10k-способный прокси, такой как NGINX, отбрасывать этот трафик атаки при пересылке настоящий трафик на обычный веб-сервер.
FWIW: Мой опыт работы с оборудованием 10-летней давности Fedora Core 1 на 100-мегабитном интернет-канале. Атакующий трафик сохранялся в течение 1 недели, но реальные клиенты не заметили падения производительности сайта. Только будьте осторожны с платой за пропускную способность.
Что касается коммерческих операций, которые, по-видимому, делают примерно то же самое, я не могу представить, почему они не работают. Это не ракетная хирургия.
Я никогда не пользовался такими услугами, но это зависит от типа атак, которые вы получаете. Если это атаки с чисто пропускной способностью, и они просто заполняют ваш канал, единственный выход - нанять такую услугу, как они, или распределить свои серверы по множеству каналов и центров обработки данных.
Если они используют приложение или протокол, я бы справился с этим, изменив конфигурацию на вашей стороне.
У меня есть опыт работы с услугами Verisign по предотвращению DDoS-атак. Они дорогие, но работают хорошо.