A (D)DoS támadások egy elég nagy része nem a CPU/memory/diskIO erőforrásaid ellen irányul, hanem a sávszélességedet akarja megenni, hogy a legitim kérésekre se tudj válaszolni.
Ez ellen védekezni alapvetően úgy lehet, ha nagyobb sávszélességed van, mint a támadónak - és itt jönnek képbe a CDN-ek, amelyeknek nagy sávszélességük van, ezen beengedik a forgalmat, megszűrik, és a szervereidre már csak a szűrt, érdemi kéréseket engedik be, ami a sávszélességedbe belefér. Nyilván ez így végtelenül leegyszerűsített, de a modell ez, és ezt lehet akár védelmi rendszernek is nevezni.
Ami itt el lett szúrva az az, hogy nemcsak a CDN irányából volt beengedve a forgalom, hanem bárhonnan máshonnan is. Ez nem jó - a doksi alapján kb. 60%-kal alacsonyabb lett volna a forgalom, ha a más irányból jövő kérésekre kapásból egy TCP RST-vel válaszolt volna a rendszer. Ez még mindig kiütötte volna amúgy a rendszert, de eggyel bentebb lettünk volna.
Ami szomorú, hogy pl. az egyszerű gyalogkakukk webshopok, amiket csinálok ennél sokkal jobb védelemmel vannak ellátva, havi párszáz euro költségből. Annyi pénz meg volt itt is, ráadásul nem is mindig kell, csak 1-2 hónapra.
Ami viszont vidám, hogy azt írják az üzemeltetők, hogy ebből most tanultak, és ezután jobb lesz. Kíváncsi vagyok, hogy jobb lesz-e tényleg legközelebb.