[cancellato] A monte. Così come li mitighi a monte anche se hai 100G o 300G, perché al mondo c'è sempre qualcuno che ce l'ha più grosso di te 😉
Eh??? E sentiamo, come mitigheresti un DDoS da botnet, o un DDoS da sorgenti spoofate, "a monte"? Un attacco fatto bene che non sia un banale volumetrico, magari invece anche in L7 e specifico per il target, non lo mitighi certo con i filtri statici dei transiti, quindi ti chiederei di spiegarti meglio perche' non capisco che intendi con "a monte" all'atto pratico per gli attacchi reali... Mica puoi andare casa per casa a sanificare l'IoT, telecamere, etc hackerate della gente, poi magari ti presenti in Russia e dici "salve, vorrei far chiudere le vostre botnet, posso?"... 🙄
[cancellato] Tu hai mai gestito o visto infrastrutture in grado di sostenere traffico egress e ingress da diciamo almeno 200-500Gbps tanto per dar il taglio che disprezzavi di Aruba? Hai presente i costi per fare filtraggi, shaping, policy, analisi IPS e Anti DDoS su tali ordini di grandezze? MI sa di no, altrimenti cambieresti rapidamente idea.
E invece si'. Non ho detto certo che costa molto poco o che sia molto semplice eh, ma non e' certamente nemmeno cosi' impossibile come credi e/o sembra vorresti far credere tu, a meno che tu non voglia affidarti a servizi o prodotti chiavi in mano e/o esternalizzati, allora li' piu' che grosse competenze serve un portafogli infinito...
[cancellato] Gli esempi dei datacenter che fai tu sono quelli del "cloud"
Assolutamente NO, gli esempi che faccio io sono di datacenter "fisici" che vendono principalmente server dedicati, e poi anche server virtuali tariffati al mese o ad ore*: tanto per fare dei nomi, che sono solo i primi che mi vengono in mente ora, Hetzner in Germania, Iliad in Francia, LeaseWeb in Olanda, e cosi' via.
* oggi va di moda chiamare le VPS ad ore "cloud", anche se il "cloud" vero e proprio include un sacco di servizi costosissimi "chiavi in mano" a corollario o addirittura in alternativa delle VPS vere e proprie. Solo chi ha soldi da buttare OPPURE progetti microscopici puo' permettersi di esternalizzare sul "cloud" vero senza andare in profondo rosso (altrimenti tocca spolpare a propria volta i propri clienti per poter sopravvivere, ed ecco li' il circolo vizioso del "ommammamia costa troppo poco pero' i prezzi sono cosi' alti ma sono anche troppo bassi")... Per non parlare poi del vendor lock-in, una volta che "migri" come torni indietro, come cambi fornitore... Cioe' il "cloud" vero e' solo negativo e basta, tranne per chi te lo vuole vendere ovviamente.
Ma che dici... Tu hai mai gestito o avuto un server dedicato o anche solo virtuale con uno dei provider di cui sopra? Non dico gestito la rete di quei provider eh, dico solo come cliente. Mi sa proprio di no, oppure sei sempre stato fortunato a non essere mai attaccato. Se ti arriva un attacco diretto al tuo IP pubblico lo senti eccome perche' ti satura la porta, e poi dopo un tot entra in funzione (se c'e') la mitigazione del datacenter (i core router routano la /32 sotto attacco a degli scrubber cioe' delle macchine molto potenti e dedicate al filtraggio, che cercano di filtrare dinamicamente il grosso dell'attacco per poi rigirare al resto della rete il traffico "pulito"). Questo pero' puoi farlo ovviamente solo se hai banda adeguata da e verso l'esterno; se non ce l'hai e non vuoi sostenere i costi per adeguarla, sei invece praticamente costretto o a nullroutare la /32 sotto attacco oppure ad esternalizzare la protezione, facendo annunciare le subnet sotto attacco ad altri che invece hanno adeguata banda, e poi ti rigirano il traffico pulito in qualche modo, spesso via tunnel o a volte anche interconnessione fisica diretta, se si e' entrambi presenti in un IXP o altra struttura comune.
Quindi il grosso della banda serve eccome, come standby per mitigare gli attacchi che arriveranno; se non ce l'hai o te la procuri o esternalizzi o chiudi. Ora va di moda esternalizzare, ed e' un male.
iam0day In realtà con la FTTH non ci dovrebbero essere questi problemi
No, ma mi riferivo ai datacenter connessi ad internet con le stradine di campagna, che al primo attacco (o cliente che scarica a 10 Gbps 🤣) vanno giu' del tutto o nel caso migliore si vola con il packet loss 😅
handymenny è relativamente facile se la banda te la pagano gli ISP o è praticamente gratis (peering agli IX) e se devi servire un solo tipo di contenuto
Eh si', e in questo specifico caso non ti devi nemmeno preoccupare dei DDoS, pensa tu 🤣 Ma non e' certo mica il caso generale, anzi...
handymenny E comunque il problema per me non è la banda, ma non saperli gestire intelligentemente questi aggiornamenti. Ci sono modi e modi per evitare che ciò accada.. C'è ad esempio il P2P, il rilascio graduale
Anche, si'. (P2P meh va bene per cose gratuite, ma se lo usa un servizio a pagamento storco un po' il naso...)
) vanno giu' del tutto o nel caso migliore si vola con il packet loss 
), o cmq ovunque un DC non abbia investito nella protezione della propria rete, e' ovvio che ti accompagnano alla porta virtuale col nullroute, cioe' ma se tutto un gruppo a livello mondiale si vanta di avere 
