Можно ли ограничить пропускную способность во время ддоса?

Question

[dan0sss]

Есть сервер с портом 1 гбит, во время ддоса входящий трафик забивает весь канал. Можно ли ограничить скорость входящего трафика? Пробовал шейпер:
wondershaper -a ens3 -d 10240 -u 10240
Не помогает. При входящем ддосе эффекта 0, канал все также забивается под всю. Также пробовал ethtool -s ens3 speed 10 duplex full, тоже никакого эффекта

Comments

[vreitech]

а какого вы эффекта ждёте? если вам ДДОС забивает 1 гигабит/с, то он забьёт и 10 мбит/с.

[dan0sss]

vreitech, это нужно для распределения трафика между виртуалками, чтобы если атака шла на на одну впс, это не блокировало соединение с остальными

[vreitech]

dan0sss, с ДДОСом по пропускной способности шейпингом на конечной машине (на той, на которой не хватает пропускной способности) бороться бесполезно. нужно либо расширять канал, либо чтобы шейпинг происходил на одном из предыдущих узлов - на том узле, на котором канал уже достаточно широк.

[d'Ivan]

vreitech,

а какого вы эффекта ждёте?

Может, throttling?

Answer 1

[Vitaly Karasik]

Нужно ограничивать до того, как траффик зафлудит ваш канал.
Два варианта:
1) Использовать сервис, через который проходит весь траффик между клиентом и сервером. Сервис будет резать плохой траффик. Пример популярных и недорогих - Cloudflare, Incapsula.
2) Для желающих, умеющих и/или людей с паранойей (так так сервисы из пункта 1 должны расшифровывать траффик) - делать это самому. Т.е. купить железо с портом на 10 (100, 1000) ГБ и фильтровать.

Answer 2

[AUser0]

Вот представьте, DDoS - это час пик в Москве. А вы турникетами перегородили въезд на придомовую территорию. И теперь искренне надеетесь, что благодаря придомовым турникетам МКАД перестанет пробками забиваться. Аналогия понятна?

P.S. Даже если вы выдернете провод из сервера - DDoS трафик не исчезнет, он просто перестанет доходить до конечного устройства, будет подвисать на стадии инициализации коннекта. Cloudflare вам в помощь.