proti ddos je nejlepší kontaktovat okamzite cloudflare , mají hotline pomuzou hned..
https://www.cloudflare.com/lp/ppc/ua-hotline/
To vam casti moc nepomuze, kdyz vam utoci na webserver... to, ze to odstehujete za jejich CDN/proxy s DDoS utok typicky nepresmeruje a utocnik dal utoci na backendovou cast, kde to bezelo predtim. Dost casto ty informace o backendu leaknou z informaci okolo (treba z DNS), a to i kdyz to pres ten Cloudflare honite od zacatku...
Podobnou službu zajišťuje i český WEDOS https://www.wedos.global/protection?ap=55810
Např. pomocí BGP přesměrovvává útoky rovnou jinam, ale těch technik je tam nasazeno hned několik...
to také není moc výhra, hlavně CF funguje jen na webové služby, zatím ddos může vést na ledacos.
CF v českém prostředí u velkých webů dělá občas problémy, některé špičky (stát a jeho výběrka podle pořadí v přesném čase může vyprávět) vyhodnocuje jako útok a odstřihává legitimní uživatele, nechává je čekat nebo dává do fronty. Provozovatel poté nemá dostatek informací o tom, co se děje a že se to děje.
IP filtraci Cloudflare nema, pro operatory jedine BGP protoze WAF neni ochrana konektivity ale velmi chytra akceleracni a cache proxy s ochranou proti DDoS. Nehlede na vazani na domenu a CNAME pripadne CNAME flattering.
Schopnost jak nalezt u bezneho projektu backendovou cast je hodne, dns leak, mta leak (z mailu z tech systemu napr reset hesla) pak uz jen staci /20 a je vymalovano, nekde uvnitr /20 to vetsinou bude a pak binarne pozoruji 0/1 je a nemusi resit kde.
Operatori nemaji moc moznosti nez kombinace last mile filtrovani a specializovanych sluzeb. Pro beznou volumetriku v radu desitek giga a jednotky mpps by je externi sluzby stahly z kuze. Cim vetsi operator tim vetsi radost (ATLAS) a schopnost filtrace. Zbytek je jen umorna prace dohledu a selektivni pravidla do BH.
Svet bohuzel patri velkym proto si rada firem provozuje sit svych anycast hracek. My to tak taky delame ale neni to reseni pro nativni provoz. FENIX je sice fajn ale koncepce to nebude s ohledem na to jak se meni smer platit. Casem si trh rozeberou giganti/hyperscale co proste budou mit globalni sit, do implementace selektivniho peeringu se sitemi s implementaci sourpce-filteringu se nikomu nechce. Bohuzel