вот тут согласен.
но у ТС хостинг-аккаунт

даже если на сервере нагрузка в 500% и ну вообще ничего не работает.... заходим на IPMI интерфейс, рубим интерфейс сетевой карты (чтобы не принимала пакеты). Нагрузка падает. А дальше уже пишем анализатор (можно даже через виртуальную конслоль сразу из IPMI чтобы не подключаться по SSH. Чтоб не поднимать интерфейс сетевухи обратно. А то снова зальют его)

MaxtoR , не открыли тайну =)
в общем то ли я не правильно выражаюсь, то ли Вы недопонимаете мои посты

а канал то входящий не резиновый)
upd пакетиками "забросают"

нет, просто Вы пишите полную чушь про "фильтрацию на уровне ДЦ" сразу. До "уровня ДЦ" можно пару-тройку сотен мегабит отрезать даже на неочень мощном сервачке используя NGINX и csf))))

какой канал? IPMI? Его ip и знать то никто не должен. Или основной (там где сетевуха) ? Так его мы потушили из IPMI. Что забрасывать то?

MaxtoR , ну так не держать же основную сеть выключенной....

держать. именно держать. пока анализатор не отработает и не перебанит то, что найдет. Затем поднимаем сеть обратно. (кстати udp трафик можно сразу отрезать на время атаки). Если нагрузка снова начинает расти (перебанены не все ip) - запускаем анализатор ещё раз из IPMI. И пускай работает пока всех не потушитю Если вдруг перестанет действовать (например сменился тип атаки и те правила, по которым анализатор работал не подходят уже) - повторяем операцию: тушим интерфейс, пишем новый анализатор (меняем правила) и повторяем операции

DoS или DDoS?

к кому относится?если речь о разговоре Димы и Андрея то тут речь о ddos уже идет)