Как предотвратить DDoS-атаки?

Если у вас есть для этого бюджет, приличный бюджет, тогда вам следует изучить возможность размещения ваших собственных серверов в колокации.

Тогда у вас будет полный контроль над сетью, маршрутизацией и брандмауэром, а также над серверами. Вы сможете организовать транзитное соединение и пиринг (при необходимости), но, что более важно, вы сможете использовать облачный механизм защиты от DDoS-атак, известный как "чистая труба" провайдер.

Тем не менее, вы могли бы сделать это как есть, в зависимости от того, что ваш выделенный хост позволит вам делать. - Я не очень внимательно смотрел, но подозреваю, что вам нужно будет найти хост, который позволил бы вам использовать соответствующий выделенный брандмауэр для подключения к службе чистого канала.

По сути, чистый канал - это то, где трафик к вам туннелируется (с помощью GRE) поставщику услуг в облаке (у которого есть БОЛЬШАЯ пропускная способность), а затем защищается и фильтруется перед тем, как туннелировать обратно в вашу сеть.

Борьба с DDoS-атаками, как известно, сложна, потому что обычно к тому времени, когда трафик достигает вас, ссылка на ваш сервер уже загружается, поэтому единственное, что нужно сделать, - это заблокировать его поставщиком услуг, когда он достигнет их границы.

По сути, у вас есть только два решения, как было сказано ранее. Либо у вас есть бюджет на хостинг, а затем вы создаете инфраструктуру, способную поглощать и фильтровать DDoS-трафик.

Или вы можете найти хостера с таким техническим решением в своей сети, например OVH.com которые предоставляют решение CleanPipe под названием VAC (сокращение от Vacuum) и которое, похоже, способно предотвратить DDoS со скоростью около 160 Гбит / с.