Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него, увы, не спешит.
В рамках этого проекта помимо прочего мы обязаны заключить договор с какой-нибудь конторой, предоставляющей услуги защиты от DDoS. То, что оно мне нахер не впёрлось — это второй вопрос. Но по некоторым не зависящим от нас причинам, обязаны вот заключить и подключить.
Нашли там одну контору... не буду публиковать её название, дабы не делать им рекламы или не отбиваться от их нападок. Но они капец какие смешные.
Вся инфраструктура у них заточена под защиту / фильтрацию исключительно HTTP / HTTPS. Шаг вправо / шаг влево, какой-то относительно нестандартный протокол — уже проблемы.
Для защиты HTTPS требуют отдать им закрытый ключ от твоего X509-сертфиката. Чтобы они, значит, сами терминировали-разворачивали TLS-сессии. Ага, щаззз, разбежались. Я если бы даже и захотел, не смог бы им отдать. Потому что он у меня хранится в специальном отдельном криптоящике, который внаружу его не выпустит ни при каких условиях.
Ладно... если нельзя отдать X509-ключ, тогда по их условиям нужно строить GRE-тоннели, в которые заворачивать весь трафик. При этом.
- Адресацию внутри GRE-тоннелей они тебе диктуют сами. Пересекается с твоими сетями? А ниипёт! Сам изворачивайся как хочешь.
- Весь ICMP у них наглухо закрыт. Диагностика? Не, не слышали! Работает тоннель, не работает, догадайся, мол, сама.
Ладно, с помощью кувалды, какой-то там матери и нескольких суток отладки таки построили, как-то даже работает.
Дальше говно ширится. Понадобилось также защищать подключения по протоколу UDP. Ииии? "Ой, нет, а мы так не можем! Давайте объявляйте свою AS через нас, мы будем представляться от вашего имени, только так." Ну охренеть, дайте две! Ещё я им свою ASку целиком отдать должен. А жопа не треснет?
Вот и возникает вопрос: а на хера вы мне вообще такие красивые нужны, а? Впрочем, ответ уже был дан несколько выше.
Ещё маленький нюанс. Эти гаврики участвовали в одной из онлайн-конференций "Yandex NextHop Talks". При этом у их докладчика единственного возникли проблемы с трансляцией видео и звука. До такой степени, что он даже "выпадал" из конференции и не мог восстановить вещание минут 15. Народ его там обстебал по полной программе.
Это всё, что вам нужно знать про защиту от DDoS и про одну из самых популярных в России контор, оказывающую такие услуги.