Telekom'un DDOS servisi altındaki subnetler için ayrı ayrı threshold değerleri tanımlanıyor . Bu subnet'lerde en küçük /24 'lere bölünerek set ediliyor. Bu nedenle de bir subnet içindeki bir IP adresine gelen olağandışı bir trafik yüzünden firewall triggerları çalışmış olur. O nedenle de bir 1.1.1.1 IP adresine saldırı geliyorsa , 1.1.1.2 IP adresinde de false positive olma olasılığı yükselir. Yani sizin söyleminiz sadece sizin gözleminizdir , realite öyle değil .
--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 00:31:58 -->-> Daha önceki mesaj 00:30:40 --
Çalıştığınız veri merkezi IP adreslerini hem SOL hemde TT networküne anons ediyorsa , SOL kullanıcıları firewall üzerinden geçmiyordur. Bu nedenle de karışık bir durum yok
Bu verimerkezi ile telekom arasında değişken bir süreç, verimerkezi her ipi birbirinden izole ettirmek isterse /32 subnet ile yani her ip için izole yapı talep edebilir bu konuda esneklik var, iyi araştırın.
Sizin dediğiniz mantık ile bir tane classı olan verimerkezi veya network yapısı 1 ipe gelen anormal imzasız bir saldırı anında pert olur. Sizin dediğinizde yalnış değil ama uygulanabilir farklı yapılandırmalar var.
Sevgiler.