Ma intrebam ce solutii de load balancing aveti pentru firmele mici impotriva unui ddos mai serios (gen un ddos platit cu botneti de la concurenta, adica layer 3,4 in special)
Prin firmele mici ma refer la un buget de sub 100 de euro lunar, ca solutii mai scumpe sunt destule.
Eu ma gandesc la Microsoft Azure si Amazon AWS in special, cel putin pentru frontend si API-uri. Nu cred ca existe firme din Romania cu o infrastructura decenta la un pret rezonabil. E Voxility dar trebuie sa iti faci propriul sistem de load balancing si devine mai scump ca si Azure. (ma rog au si ei un sistem de ‘500 Gbps redirect’ dar e overkill pentru 500 de euro lunar)
Eu vorbesc de situatiile in care cloudflare-ul moca iti blocheaza si el traficul si primesti email sa faci upgrade la pachetul de 200 euro lunar care practic e un load balancer care face cache pe mai multe servere. Am implementat web application firewall cu nginx testcookie si limit ip conn.
Utilizare https://en.wikipedia.org/wiki/Anycast pentru DNS-uri (practic utilizarea unui serviciu de cloud dns hosting global), aici intervine Cloudflare si alternativele.
Se va utiliza mereu un server extern pentru trimis si primit mail-uri fata de backend-ul principal.
Ideea mea cel putin, e sa existe si un frontend exclusiv IPv6. In Romania avem acoperire IPv6 destul de buna. Majoritatea nu vor ataca un ip ipv6 sau botnetii nu au ip-uri ipv6. Probabil ca aceasta ar fi cea mai ieftina solutie ca si compromis, intradevar multi nu vor avea ipv6 dar majoritatea tot vor putea intra.
Utilizarea unui CDN protejat pentru resurse ca sa scadem costul vps-urilor din frontend.
Daca sunt bani poate exista un honeypot frontend care sa filtreze cu echipament dedicat/in cloud si sa faca share la reguli la celelalte frontend-uri.
In concluzie, ideal ar fi sa fie minim 3 ip-uri in round-robin dns pe vps-uri in locatii diferite (ideal la AWS, Azure pentru cativa centi pe ora), cel putin un frontend ipv6 exclusiv sau cu ipv4 dar cu allow pe o anumita tara, server dns distribuit si nimic legat de udp sau mail pe backend. (backend total ascuns)