From: Mykola Dzham
Andrew Stesin wrote: Это кстати меня натолкнуло на другую идею. Простой вариант. Выделяем сервису /24 . Настраиваем dns так, чтобы он разным /8 выдавал разный ip с этого диапазона. Тем самым в случае появления DDoS мы, по первых, может заблекхолить только те ip, на которые идет DDoS, во вторых по этому ip определить из какой сети на самом деле идет DDoS (с точностью до DNS сервера компа, с которого идет DDoS), причем не просто определять, а выдавать ему через dns кой-нибудт 127.x.x.x. Недостатки очевидны: большой расход ip адресов (правда IPv6 не за горами ;) ) и слабая локализация: рубим с плеча по /8, как завещали Вендоры. Поэтому Сложный вариант. Используем SRV записи: портов у нас много, хватит на всех. Тут я вижу два недостатка: провайдеры сейчас блекхолят только по ip, и далеко не все сервисы сейчас умеют SRV.
.. а если эти 256 машин еще и разнести по разным площадкам, то и провайдерский канал перестанет быть узким местом. На рынке появляется новый тип услуг - распределенный хостинг. Akamai. -- Олег =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message