دیتاسنتر داخلی با امکان مهار ddos

[yastheme]

ممنون از راهنمایی دوستان.

اگر پیشنهادی برای میزبانی داخل ایران یک سایت با حملات گسترده مثلا ۷.۵ گیگابیت و حدود یک میلیون پکت در ثانیه از نوع icmp و udp برای مدت ۸ ساعت در روز (تقریبا هر روز) دارید من استقبال می کنم. لطفا پیشنهادات کلادفلر و میرور داخل و خارج و geodns و امثالهم ندید که همشون تجربه شدن و نقاط ضعف دارند. قطعا برای راه حل پیشنهادی هزینه هم تعریف کنید.

کلودفلر یا سرویس مشابه ( نمی خوام اسم ببریم که تبلیغ بشه ) هیچ ضعفی ندارند؛ اگر مورد استفاده شما سایت و صرفا استفاده از پروتکل http یا https است مهار آن امکان پذیر است؛
البته دیگر آی پی سایتتان ایران نیست و برای کاربران ایرانی نیز سایت دیگر از داخل ایران لود نمیشود و از سرور های کشور های دیگر مثل آمریکا لود می شود؛
در داخل ایران برای یک حمله یک گیگابیتی هم راه کاری که مد نظر شما است وجود ندارد؛
حملات udp قابل کنترل و هدایت از سمت شما نیستند و اگر میلیاردی هم خرج فایروال سخت افزاری در ایران کنید با این وضعیت پهنای باند باز هم مشکل شما حل نخواهد شد.

[arc1o0]

کلودفلر یا سرویس مشابه ( نمی خوام اسم ببریم که تبلیغ بشه ) هیچ ضعفی ندارند؛ اگر مورد استفاده شما سایت و صرفا استفاده از پروتکل http یا https است مهار آن امکان پذیر است؛
البته دیگر آی پی سایتتان ایران نیست و برای کاربران ایرانی نیز سایت دیگر از داخل ایران لود نمیشود و از سرور های کشور های دیگر مثل آمریکا لود می شود؛
در داخل ایران برای یک حمله یک گیگابیتی هم راه کاری که مد نظر شما است وجود ندارد؛
حملات udp قابل کنترل و هدایت از سمت شما نیستند و اگر میلیاردی هم خرج فایروال سخت افزاری در ایران کنید با این وضعیت پهنای باند باز هم مشکل شما حل نخواهد شد.

اگر حرف شما درست باشد که باید کرکره ict رو در ایران کشید پایین!


یه سوال از خودتون بکنین شرکت ها و سازمان های بزرگ از راه حل هایی استفاده می کنند؟

- - - Updated - - -

ممنون از راهنمایی دوستان.

اگر پیشنهادی برای میزبانی داخل ایران یک سایت با حملات گسترده مثلا ۷.۵ گیگابیت و حدود یک میلیون پکت در ثانیه از نوع icmp و udp برای مدت ۸ ساعت در روز (تقریبا هر روز) دارید من استقبال می کنم. لطفا پیشنهادات کلادفلر و میرور داخل و خارج و geodns و امثالهم ندید که همشون تجربه شدن و نقاط ضعف دارند. قطعا برای راه حل پیشنهادی هزینه هم تعریف کنید.

سلام

شما چرا تمایل به میزبانی در ایران دارید؟! چون کاربران شما ایرانی هستند.

خوب وقتی کاربران شما ایرانی هستند، و بازدید مناسب و کاربران ثابت خود را پیدا کرده اید، چرا نگران از ایران اکسس شدن (موقتی) سایتتون هستید؟

اگر هم خیر، کاربر خارج از کشور هم دارید، ( بیش از 5-10%) کل کاربرانتان، حتما از سرویس های اروپا استفاده کنید.

سولوشن های مختلف و متنوعی می توان برای شما ارائه کرد، مشروط به این که جزئیات بیشتری در اختیار قرار دهید.

[yastheme]

اگر حرف شما درست باشد که باید کرکره ict رو در ایران کشید پایین!


یه سوال از خودتون بکنین شرکت ها و سازمان های بزرگ از راه حل هایی استفاده می کنند؟

اگه به دلیل انحصار نبود تا الان کرکره های زیادی پایین بود؛
ما در مورد دیتا سنتر هایی که به اشخاص حقیقی مثل کاربران همین سایت سرور می فروشند صحبت می کنیم؛ و اگر نه بحث شبکه های سایت های خاص جدا است که البته آن هم باز محدود است و هنگام حملات بزرگ به ایران فقط محدود می شوند و چون شما در ایران هستید شاید زیاد متوجه این مشکل نشوید ولی در ایران هیچ راه حلی خاص و مطمئنی برای افرادی مثل من و شما وجود ندارد.

[BuyHardware]

پهنای باندشم باشه روتری که بخواهد پاسخگوی چنین اتک شما باشد در ایران نیست.
چون تمام روترهای مرکزی خودشان با اتک های ریز و درشت زیر بار هستند و گیگابیتی باعث تداخل در کار روتر مرکز میشود.

دوست عزیز یا شما از تجهیزات زیر ساخت خبر ندارید یا دارید اجحاف میکنید در این مورد
کمترین لینک همسایگی در سطح زیرساخت 10 گیگابیت هست
جدایی از اینکه در بعضی موارد از پروتکل etherchannel استفاده میکنند و تا 80 گیگابیت میرسه
سویچ های 6500 یا سوپ VS-S2T-10G میتونه 720 میلیون پکت در ثانیه رو هندل کنه که من خودم شخصا چندین تا از این سویچ هارو در زیر ساخت دیدم

- - - Updated - - -

اگر حرف شما درست باشد که باید کرکره ict رو در ایران کشید پایین!
یه سوال از خودتون بکنین شرکت ها و سازمان های بزرگ از راه حل هایی استفاده می کنند؟

دقیقا همین طور هست اگر انحصار برای شرکت زیر ساخت نبود تا الان شرکت زیر ساخت حتی مشتری های دولتی هم نداشت
ولی متاسفانه انحصاری بودن این موضع کمک کرده که وضعیت اینترنت ایران اینطوری بشه

دوست عزیز پروتکل UDP کاملا Connectionless هست
شما هیچ راهی برای دفع این مدل حمله ندارید
حالا جدایی از این مسایل اگر مد نظر بگیریم که شما از TCP استفاده میکنید
هیچ موقع نمیشه جلوی SYN Flood رو گرفت و شما فکر کنید هر پکت SYN حدود 60 بایت باشه
با حدود 2 میلیون پکت میتونه 1 گیگابیت پهنای باند شمارو پر کنه
یعنی دوباره بن بست در مقابله با حمله

[arc1o0]

دوست عزیز یا شما از تجهیزات زیر ساخت خبر ندارید یا دارید اجحاف میکنید در این مورد
کمترین لینک همسایگی در سطح زیرساخت 10 گیگابیت هست
جدایی از اینکه در بعضی موارد از پروتکل etherchannel استفاده میکنند و تا 80 گیگابیت میرسه
سویچ های 6500 یا سوپ VS-S2T-10G میتونه 720 میلیون پکت در ثانیه رو هندل کنه که من خودم شخصا چندین تا از این سویچ هارو در زیر ساخت دیدم

- - - Updated - - -



دقیقا همین طور هست اگر انحصار برای شرکت زیر ساخت نبود تا الان شرکت زیر ساخت حتی مشتری های دولتی هم نداشت
ولی متاسفانه انحصاری بودن این موضع کمک کرده که وضعیت اینترنت ایران اینطوری بشه

دوست عزیز پروتکل UDP کاملا Connectionless هست
شما هیچ راهی برای دفع این مدل حمله ندارید
حالا جدایی از این مسایل اگر مد نظر بگیریم که شما از TCP استفاده میکنید
هیچ موقع نمیشه جلوی SYN Flood رو گرفت و شما فکر کنید هر پکت SYN حدود 60 بایت باشه
با حدود 2 میلیون پکت میتونه 1 گیگابیت پهنای باند شمارو پر کنه
یعنی دوباره بن بست در مقابله با حمله

راه حل؟!

[yastheme]

راه حل؟!

در ایران هیچ !
حتی در آلمان که یک کشور صنعتی و قوی محسوب می شود نیز دیتا سنتری مثل هتزنر با یک اتک 1 گیگابیتی یا حتی کمتر سرور شما را مسدود می کند! آیا زیر ساخت آلمان ضعیف است؟ خیر
شما باید همه شرایط را در نظر بگیرید؛ شما چه مقدار هزینه سرور می کنید؟ آیا برای دیتا سنتر عاقلانه است که با این هزینه ی سرور بار ترافیک و دردسر اضافی حملات را هم به دوش بکشد؟

سایت https://ddos-guard.net/en به دلیل پنیگ بهتر( روسیه) به ایران نسبت به دیتا سنتر های آنتی دیداس دیگر ممکن است برای شما مناسب باشد؛
من نمی دونم یه سرور با مشخصات مثلا زیر :
CPU:Xeon E3 3.50Ghz(4 core)
HDD:2 x 1TB SATA 7K2 6Gb/s
RAM:32GB DDR3 1600MHz ECC
NET:1Gbps/100Mbit OnBoard
در دیتا سنتر های ایران یا آلمان به چه قیمتی است؛ ولی می توانید این سرور را در سایت بالا با قیمت 500$ البته بدون ستاپ تهیه نمایید؛
یا اینکه از سرویس های دیگر برای محافظت از وب سایت خود استفاده نمایید.
در غیر اینصورت به نظر من دنبال راه کار دیگری نباشید چرا که فقط اصراف زمان است.

[BuyHardware]

راه حل؟!

سلام
دقیقا همانطور که اقای بینایی گفتند
شرکت زیر ساخت یک انحصار طلبی خاصی روی این موضوع داره با توجه به اینکه به غیر از فیزیک نظری تنها وارد کننده پهنای باند ایرن هست
و شبکه طوری طراحی شده که فقط جواب گوی مصرف کننده های اینترنت باشه نه زیر ساخت های حرفه ای و شبکه های سطح بالا
راه حل تنها اینکه که شرکت های خصوصی به این بیزینس پا بزارند و رقابت بین شرکت ها ایجاد بشه
اونوقت میشه گفت این قبیل مشکلات رو میشه حل کرد
وقتی شما حمله ای در سطح 10 گیگابیت بهتون میشه شرکت زیر ساخت خیلی راحت و بدون درده ایپی های شما رو میبنده که از خروجی های ایران در اینترنت تبلیغ نشه
ولی وقتی شرکت های خصوصی بیاند راه حل های سطح بالا استفاده میکنند تا این قبلی مشکلات رو حل کنند
ناگفته نمونه فیبر اروپا به ایران که معروف به Euro-Persia Express Gateway هست توانایی 3.2 ترابیت بر ثانیه رو داره
ولی چه مقدار از این زیر ساخت داره استفاده میشه رو خدا میدونه و فکر کنید این زیر ساخت فقط توسط شرکت زیر ساخت داره استفاده میشه
قطعا این مقدار زیر ساخت رو یک شرکت نمیتونه به نحو احسنت ازش استفاده کنه
ایران با توجه به موقعیت جغرافیایی بهترین کشور برای IP Transit هست ولی متاسفانه به دلایل انحصاری از این موقعیت استفاده نمیشه

[ehsanix]

از اطلاعات و راهنمایی های دوستان ممنونم.
نتیجه گیری تا این لحظه من از این بحث اینکه داخل ایران راه حلی برای این موضوع نیست.

[RoobinaServer]

دوست عزیز یا شما از تجهیزات زیر ساخت خبر ندارید یا دارید اجحاف میکنید در این مورد
کمترین لینک همسایگی در سطح زیرساخت 10 گیگابیت هست
جدایی از اینکه در بعضی موارد از پروتکل etherchannel استفاده میکنند و تا 80 گیگابیت میرسه
سویچ های 6500 یا سوپ vs-s2t-10g میتونه 720 میلیون پکت در ثانیه رو هندل کنه که من خودم شخصا چندین تا از این سویچ هارو در زیر ساخت دیدم

از تجهیزات مطلع هستیم و در حال کار با همین تجهیزات هستیم.

هر کسی با این مرکز کار بکند و اتک های مختلف گیگابیتی داشته باشد در عمل میتواند ببیند که چه قدر زیرساخت و تجهیزاتش پاسخگو هست.
مطمئن باشید اکثر روش ها و کارهایی که میتوانند انجام دهند و انجام شده یا نشده را میدانیم (دقت کنید ذکر شد اکثرا ،چون مطلع هستیم خیلی موارد دیگر هم وجود دارد که ممکن هست ندانیم چون اصلا در کار ندیدیم) بنده فقط شرایط عملی که مشاهده شده را خدمت استارتر ذکر کردم.(شما ببینید چه چیزی در اختیار میزبان ها در ایران قرار میدهند نه چیزی که در واقعیت جلوی چشم هست یا عکس از آن ارائه کنند.)
اصلا تجهیزات زیرساخت مهم نیست. زیرساخت کشور اگر بخواهد میتواند دسترسی اتک را از قبل از لینک بین الملل خود در خارج کشور توسط پرواویدر بالادستی محدود کند کاری که ما در مواقع اتک در یکی از زیرساخت هایمان توسط ابزار و امکانات خاصی که در اختیار گذاشته اند انجام میدهیم.(البته تمام این موارد و توضیحات به نوع اتک مربوط هست و هزینه ای که کاربر در نهایت برای لینک خود میپردازد وگرنه تمام جهان یک روتر غول استفاده میکردند و هیچ وقت هیچ سایتی با هیچ اتکی روی شبکه (به هدف دان کردن لینک) از دسترس خارج نمیشد)

هیچ وقت سرویس پرواویدر و مدیر گت وی بین الملل به نام آقای x (نام نمیبریم) نمیاد برای شما چنین کاری بکنه نهایت کاری که انجام میشه توسط روتر های پائینتر (انشعابی) چنین کاری میکنند که توان چنین اتک سنگینی رو ندارد و حتی در برخی روتر ها باعث تداخل میشود و اگر هم زیاد اعتراض شود خیلی راحت میتوانند کل لینکتون را به دلیل اختلال در کل شبکه و لینک مسدود کنند. (که هی به هشون گیر ندید - کلا چون از صبح سر و کله میزنند با این موارد یه کم حوصلشون کم هست)

به هر حال باز بر میگردیم به همان لینک و کامنتی که در تاپیک قبلی خدمتتون توضیح دادم (تاپیک پردیس هاستینگ که دقیق سر همین موارد به انحراف کشیده شد) ،استارتر چنین موارد فنی ریزی نمیخواهند چون به کارشون نمیاد.

استارتر عزیز هم هیچ وقت نمی توانند چنین اتکی را به راحتی در ایران هندل کنند مگر شرایط سیاسی خاص و بودجه خیلی خاص که باعث اجبار در کار زیرساخت شود.

موفق باشید

[reza21biologist]

کارهای زیادی در سطوح مختف میشه کرد اما تو ایران خیلی هاش پیاده سازی نمیشه یا حداقل سازوکاری واسش پیش بینی نشده است. هر نوع تلاشی تا حدی میتونه جلوی حمله رو با توجه به نوع اون بگیره
http://securitywing.com/15-ways-to-s...ks-in-network/