AntiDddos защита.

Хаюшки,Хотелось чтобы вы оценили идейку по зашите от школатронов со стрейсерами,И так берем сервак (vps) на ovh , С нормальными ресами ,И после этого выгружаем туды линукс,И после этого рожаем tcp proxy,Который будет пахать в асинхроном режиме,Тобишь при подключение будет подниматься новый поток,И будет открыт новый сокет,Который подчепиться к серверу и начнет кидать данные,Только скорей всего придеться либо отказываться от индефикации по ipv4,Или как то скармливать заголовки,Ну и также нужно будет организовать такой лист правил,Запрешяем устанавливать с узлом сойденения более чем 3 с 1 ipv4 адреса,ICMP сразу рубим ему башку ржавой секирой,Ну и устанавливаем лимит,Не более чем 5mb с одного Ipv4 раз в 30s. Ну как вам?.

 

если нужна защита хорошая то waf.ovh , других вариантов сейчас нет.

 

Неплохо, но все же по моему опыту все это можно отбивать в пределах обычного дедика с прямыми руками.
1 атака из вашей статьи звучит страшно, но я еще пару лет назад пробовал подобное, приходило письмо

2 атака, L7 фильтруется на банже, обычная и банжа славика это не умеет. Нужно зарыться в банжу и найти класс HandlerBoss.java, там можно отловить абсолютно все соединения и фильтровать спокойно, даже те, которые не видно в обычной банже по типу HTTP и прочих куда более хитрых, по моему опыту любой бот кривой.
На меня лично была атака около гигабита, с помощью банжи все боты идут в IpSet и атака с гигабита падает почти до нуля. Не важно тут, что будет 10 или 20 гбит. Да, к слову, IpSet при нескольких тысячах записей в секунду будет сильно жрать цпу, придется тут тоже поработать, решение есть в нете чтобы снизить нагрузку до 0.
3 атака, по моему тесту еще 3 года назад проапгрейженный на уровне системы дедик держит до 1.4 млн syn пакетов, копайте в сторону таблицы состояний соединений. Можно на овх взять дедик с более жирным каналом на время атаки или если бюджет уровня ваймворлда.

Если нет опыта, остается пользоваться всякими услугами вместо официальных белых иностранных компаний, где можно сидеть годами типа овх. А остальные тупо скамятся или скамят тебя.

 

Безусловно на OVH можно организовать очень хорошую защиту, если есть знания и опыт, но далеко не каждый на это способен, поэтому waf.ovh и есть. Сейчас защищает от всех существующих MC атак.