Comments 30
Лично я даже не удивлен, что самые массивные атаки шли с российских IP-адресов.

Лично я даже не удивлен, что вы акцентировали на этом внимание. А на самом деле, было интересно прочитать о защите от DDoS.
Поддерживаю. Я когда увидел, что пост про защиту от DDoS атак 25.05 во время выборов на Украине, то подумал, что интересно, что несмотря на политическую ситуацию, на хабре всё же стараются быть выше политики и рассуждать с нашей ITшной точки зрения.
Но эта фраза всё испортила.

ТС, если Вы хотите выразить свою политическую позицию, то Вам за этим не на хабр надо писать. Если хотите рассказать интересный пост про защиту от массированных DDoS атак, тогда исключите всю политику и все будут рады. Даже карту распределения атак по миру, я думаю, можно оставить, это факты. А вот ваше мнение и то, что вы не удивлены, это лично ваше мнение и оно не совсем уместно в вашей статье на этом ресурсе.
По-моему, была простая констатация факта — атака из России. И это не вина автора, что эта атака (и ее источник) была предсказана заранее со 100% точностью. О чем он и сказал, что не удивлен. Причем тут политика?..
Во всем, достаточно большом, обзоре одно-единственное предложение вы прочитали эмоционально-национально-политически. Это никак не выделенно (ни заголовком, ни как-либо еще), и отнесенно в субъективные аллюзии автора.
sashaboyko, начал читать ваш пост в большим интересом, но это предложение немного испортило впечатление. Я всегда считал Хабрахабр аполитичным ресурсом и читая его, я отдыхаю от всей информационной ереси, которая сейчас присутствует на многих сайтах. И если я вас как-то задел, то приношу извинения.
В обзоре не было ни слова о политике. Указание того факта, что атаки географически «откуда-то шли» никоим образом не политическое заявление. Его при желании и накале страстей так можно истолковать — но это уже другой вопрос.
Да уж славяне, раскидали нас!
Вместо совместного обсуждения технологий бросаемся с претензиями друг на друга!
За материал спасибо!
Ах, какие все обидчивые. Хабр же вне политики. Если это, конечно, касается России. Вот целый пост про то что К.Райс пошла работать в Дропбокс в какой-то отдел по связям никого не смутил—это же не политика, это же айти! Хотя причем тут айти мне никогда не узнать. В любой статье про Маска не вспоминить, что он начал судится с компанией, которая закупила российские двигаиели это же не политика, это же айти! Ну правда, ведь с кем там судится Маск это так информационнотехнологично. Про то как америка спорит с хуавеем, например, запрещает их оборудование—это же тоже айти. Я вот не знал, а оно оказывается айти. А вот одна фраза про Россию на гигантский пост, ох хакая беда! Ох, какая политика.
вы меня простите, конечно, но неплохо было бы вывести Radware в заголовок. залез читать про то, как защититься подручными средствами, а тут описание как готовая железка по мануалу конфигурируется.
Коллеги. Ваша точка зрения вполне понятна: политика политикой, а технологии технологиями. Но, как ни крути, мы не можем отделять одного от другого. Автор в данной статье просто осветил реальную ситуацию. Я более чем уверен, что все это было прогнозируемо.

P.S. Прошу не начинать политический холивор. Голова уже болит от него.
Автору нужно всего лишь убрать одну фразу, и подредактировать заголовок, и больше ни у кого не будет к нему вопросов/претензий.
UDP пакеты — салом не пахнут, так-же как BGP анонсы водкой.
Начнем с графиков, которые должны были лишить читателя всех сомнений в качестве устройства и прямоте рук администратора. Разница в Inbound и Discarded Inbound говорит о том, что DefencePro больше пропускал чем фильтровал. При том, что трафик любого веб-ресурса характерен бОльшим Outbound чем Inbound, о чем свидельствует последний график показывающий ровно тот момент когда атака закончилась.
Верно, разница в графиках заметная сразу. Это объяснимо просто – железке не было достаточно времени (1 день вместо нормированных 7) обучения и формирования нормального поведения для блокировки распределенной атаки с большого кол-ва источников легитимных запросов.
SYN Flood Protection
Тут ничего сложного. От SYN флуда спасает Connection Limit.

Настолько вольное трактование документации позволило TC ошибиться более чем полностью. Connection Limit работает в противомере под названием «Connection PPS Limit». А от spoofed syn-flood спасает syn-cookie/safe-reset/tcp-reset. Radware сюда еще притянули [http/js]- redirect.
поправлюсь, ограничение числа сессий настраивается в Connection Limit, а не в Connection PPS Limit, но сути это не меняет, т.к в любом случае это не механизм продиводействия syn-flood
Более того, много тулов для атаки уже умеют эмулировать поведение браузера и могут отвечать на 302-Redirect и js. Radware для этого внедрило механизм Advanced JS, что по последним данным недоступно ни в одной туле для генерации spoofed SYN Flood.
Вы ведь понимаете что JS, 302 SYN Flood это абсолютно паралельные сущности?
0din, хорошо что еще tarpit в качестве контр-меры против synflood не предложили. Сколковские инновации;)
Вывод про ip адреса = источник атаки достоин эфирного телевидения. Осталось только добавить, что ip адреса Штатов и Франции — это кремлевские хакеры, прикрывающиеся спинами забугорных женщин и детей.

ТС стоит почитать что такое ботнет и как он работает.
Да мне по большому счету все равно откуда лететь атакам. Может быть это парагвайский хаккер, который сидит на Мальдивах и запускает ботнет. Факт остается фактом – атаки летели из указанных геолокацией IP-адресов.
Все это хорошо, но полезность таких железок проявляется только тогда, когда размер атаки не превосходит пропускную способность вашего канала. В данном случае, трафик был несущественный.
Был ли план что делать, если бы атака превысила 0.5Gbit/s (я так понимаю, такова была пропускная способность канала, по крайней мере из конфигурации)?
И к этому мы были готовы. Против такой атаки нас бы спас Radware Defense Pipe. Сервис, который работает следующим образом: от устройства к ближайшему центру чистки строится GRE-тоннель, по которому идет обмен информацией о состоянии загруженности канала. Когда канал забивается «под завязку», центр чистки забират на себя конфиг файл с устройсва и выполняет полную эмуляцию у себя данной железки. Далее, по BGP идет анонс, что теперь центр чистки – это IP-адрес организации и весь траффик заворачивается на центр чистки (с большими каналами и мощностями). В нем трафик чиститься и уже почищенный возвращается в организацию.
Интересно, спасибо. Т.е. я правильно понимаю, что Defense Pipe решение требует как минимум отдельной /24 подсети, выдленной под защищаемый ресурс? Иначе, проанонсировав /24 из «центра чистки» — вы «заберете» туда весь трафик к подсети, и другим ресурсам в этой /24 это может не понравится.
Спасибо, было интересно прочитать.
Удивляют хабравчане, которые цепляются за графики и видят там политику. Факт есть факт, автор то тут причем.
Only those users with full accounts are able to leave comments. Log in, please.