On Sat, May 31, 2008 at 09:54:57AM +0300, Alexander Burnos wrote:
Добрый день,
А существует ли какая-то мелкая DDoS protection железка, чтобы могла обработать мегабит этак 100. Возможно с минимум наворотов, но с возможностью отфильтровать icmp/udp/syn флуды в пределах этих 100 мбит?
Про Cisco ADM/AGM модули я в курсе, щупал. Хочется что-то раз в 10 менее мощное и во столько же раз дешевое :)
В общем есть ли коробка - дешевый аналог Detector/Guard модулей?
Или может на таких объемах можно обойтись каким-нибудь решением на linux/bsd?
Основной вопрос в том, насколько автоматической реакции на DDoS хочется ;) Если "ручной" detection/filtering (соответственно, с довольно длительным временем реакции) вас устроит - посмотрите в сторону FreeBSD/pf, 100mbit даже не самая сильная машина выдержит вполне нормально (единственно - сетевухи стоит хорошие поставить). А если еще скрестить pf с carp/pfsync - то и автоматический failover себе обеспечите... Под linux тоже что-то есть, но я по нему не спец :( Второй вопрос в том, насколько вы себе можете позволить этот самый DDoS - например, если у вас всего 100Mbit к uplink'у и эти 100Mbit захлебнутся от DDoS'а на один из ресурсов - все остальные тоже пострадают, и вам в любом случае придется перекрывать ресурс "на уровне аплинка".. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message