[Danielos]

Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.

[Westman]

Citat:

Ursprungligen postat av danielos

Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt

Totalt OT men du har inte lust att tala om vad du kör?

[patrikweb]

Citat:

Ursprungligen postat av danielos

Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.

Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.

Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.

Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.

För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.

[Danielos]

Citat:

Ursprungligen postat av patrikweb

Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.

Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.

Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.

För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.

Jag lovar att titta på sådana lösningar när de ddos jag råkar ut för inte klaras av i nuläget
Men än så länge fungerar det mer än bra.

[jgabor]

Citat:

Ursprungligen postat av danielos

Jag lovar att titta på sådana lösningar när de ddos jag råkar ut för inte klaras av i nuläget
Men än så länge fungerar det mer än bra.

Betyder inte det att det redan är för sent, då du med andra ord då råkar ut för samma problem som FS-Data upplevde?

Bara min 2 ören, som man säger...

[Danielos]

Citat:

Ursprungligen postat av jgabor

Betyder inte det att det redan är för sent, då du med andra ord då råkar ut för samma problem som FS-Data upplevde?

Bara min 2 ören, som man säger...

Nej, eftersom när jag hade samma problem som fs-data för 2 år sedan skaffade jag den lösning jag har idag för mer än ett år sedan och inget tyder på att det inte fungerar hittills.