Попробовал Giga II на 200 мбит... Как и ожидалось, даже по телнету нормально ответить не может, web-интерфейс недоступен сразу. Всё упирается в ЦП. Я очень сомневають, что Ultra II здесь поможет.
Казалось бы, самый простой режим для роутера, это когда нет ни одного правила проброса портов и подобного. Но если создать аналог DMZ (перебросить всё на ПК), то при таком DDoS ЦП роутера грузится на 0-1%. Железка не заморачивается, а всё пропускает через себя.
ПК, на который всё мапится, регистрирует на своём сетевом интерфейсе 25 млн. байт/с. Т.е. те самые 200 мбит/с. Это работает только в том случае, если в DMZ указан адрес существующего ПК, "пустоту" указывать нельзя.
И посему у меня вопрос - можно как-то сделать, что роутер ничего не пропускал, но ЦП его не грузился
Наверняка, какой-нибудь ZyWall уровня выше среднего, решил бы проблему, но этот вариант я не рассматривал ибо дорого и если он справится даже с 1 гигабитом, у меня канал возможен максимум на 500 мбит.
А что сделает провайдер? В этом DDoS учавствует множество простых устройств разных пользователей, в т.ч. домашних, которые ничего не подозревают. Здесь только самому решать. Я не пишу про услуги хостинг-провайдеров, которые предоставляют услуги по защите от DDoS. У меня домашний сервачок
Если бы у провайдера была возможность в личном кабинете выбрать порты, которые необходимо открыть, то это помогло бы. Но ничто не мешает направить флуд на те порты, которые мне необходимы.
По-хорошему, надо оперативно закрывать сайты, которые предоставляют услуги хотя бы бесплатного DDoS'а, это сразу отсечёт скучающих вредителей и школьников.
Насчёт 100 мбит я не могу согласиться. Если забит 100-200, то не факт, что будут забиты 500 мбит. А если и будут, то полностью.