| patrikweb |
2015-03-08 09:29 |
Citat:
Ursprungligen postat av johan1234
(Inlägg 20507235)
Skojar du? Är det något som kostar mycket och som kunder sällan är villig att betala extra för är det väl ändå DDoS-skydd? Det företaget som normalt klarar sig med en kapacitet om 10 Gbps bör ha minst 100 Gbps transit för att inte fylla pipor (extra kostnader och du är ändå inte säker på att du inte fyller dina 100 Gbps), man filtrerar hårt i väldigt kapabla rotrar (pengar och kompetens) och du köper sedan lådor från en Arbor eller liknande vilket kostar extrema pengar (mångmiljonbelopp). Både i inköp samt stora pengar för att hålla uppdaterade och dessutom kompetens och admin pengar tillkommer. Allt ovan och trots det kan du inte garantera att inte någon attack ändå tar ner en tjänst. Massor med leverantörer i Sverige som tas ner enkelt genom att bara fylla pipor... never mind filtrering.
Någon här nämnde att de köpte tjänsten "Arbor" från sina "upstreams" leverantörer. Jo det fungerar ju bra om du har en eller ett par leverantörer - vilket alla växer ifrån vid något läge. Ska du ha ett lite mer avancerat näterk och många vägar in (dvs många leverantörer av transit och peering) och använda flera Tier1-leverantörer så erbjuder inte alla detta och det fungerar heller inte i praktiken - det finns bara en väg - och det är att bygga själv till smått extremea kostnader. Vilja är absolut det minsta problemet. De miljoner det kostar bara i kapabla rotrar och Arbor-liknande utrustning är väl ändå en riktigt stor stötesten?
Skrev fö en artikel på Cloudtweaks om just problematiken runt net neutrality och just DDoS där jag anser att ISPs måste ta ett klart större ansvar och inte bara använda DDoS för att uppsälja tjänster till deras kunder. De gnuggar händerna när de släpper igenom DoS för någon skadas och de får snart ett samtal om antingen hjälp med filtrering eller köp av mer kapacitet för att hantera större och större DDoS. Ett samhällsproblem av skala i den moderna värld vi lever i.
http://cloudtweaks.com/2015/03/the-c...-ddos-attacks/
|
Inte helt sant, kunskap räcker långt. Några 10G hos rätt leverantörer med. Många erbjuder ju styra trafiken väldigt bra med community. Så genom möjligt styra trafiken beroende om den är inom Sverige,EU eller andra världsdelar gör det smidigt blockera ut utan större påverkan.
Ser man hos många svenska leverantörer så påverkas deras nät helt ofta, dom lyckas inte ens blockera ut enstaka IP som är målet effektivt eller snabbt.
Arbor är världsledande ja, även extremt dyra. Men med GPL saker kan du själv även fixa egen lösning med lite anpassning. Att identifiera en attack som kommer över 1G eller så är inte någon raketforskning precis.
Men detta känns lite som gamla diskussionen om Loopia för många år sedan och reservkraft. Hur dom kunde kalla sig ett seriöst företag när dom inte ens hade riktigt reservkraft.
Samma sak försöker svenska webbhotell skylla ifrån sig när dom inte klarar bedriva en verksamhet med DDoS. Och skylla på det är dyrt eller omöjligt skydda sig och det inte är deras problem.
Så klart alla DDoS inte går skydda sig emot, men ser man historiken några år tillbaka på svenska webbhotell så har dom inte klarat knappt skydda sig något rent allmänt.
Med bra kontakt med ISP även kan med med enkla filter hos leverantör skydda extremt mycket. |
