Мы (
ddos-guard.net) исходя из своей многолетней практики защиты от DDoS можем дать несколько актуальных рекомендаций.
1) Реалии таковы, что защита в одной точке присутствия(POP) лишена смысла. Ботами сейчас практически не атакуют, самая популярная технология - DNS амплификация, атаки при которой достигают 130-150Gbps, но среднее значение сферической атаки в вакууме для такого типа атак составляет порядка 30Gbps, что гораздо больше, чем обычный вебмастер/хостер может самостоятельно отфильтровать.
2) Но даже если вебмастер/хостер захочет потратить десяток-другой тысяч долларов на инфраструктуру в 30Gbps, т.к. вполне может прилететь 50Gbps и это сведет на нет все усилия. Вывод - пользоваться специализированными сервисами, которые тратят большие деньги на поддержание и развитие своей геораспределенной инфраструктуры.
3) Для хостера лучшим решением является защищенный IP транзит, когда его сети анонсируются у защитника от DDoS и ему приходит уже очищенный трафик.
4) Никогда не нужно платить атакующим вас шантажистам - это как торговаться с террористами, давая им деньги вы будете платить еще не один раз.
Если понадобятся консультации по какому-то конкретному кейсу - пожалуйста, задавайте вопрос тут или на support@ddos-guard.net, поможем.