Pull to refresh

Comments 28

Картинки это хорошо.
Два вопроса:
— сколько будет стоить услуга конечному пользователю и на какие планы распространяется (будет распространятся) защита?
— можно увидеть конкретные данные по отдельно взятой атаке? Чем ддосили, за сколько справились (отработали фильтры) итд.
Сейчас мы не планируем предоставлять защиту для конкретных пользователей. Мы защищаем серверы в том случае, когда речь идет о возможных проблемах у всех пользователей сервера.
Из ваших слов следует что вы либо мониторите ВЕСЬ трафик и защищаете ВСЕХ, либо приходите на помощь когда уже все плохо и некоторые сервера (сервисы) уже недоступны.
А еще вы не ответили про количественные и качественные показатели атак которые вы отразили уже.
Мы не фильтруем по-умолчанию трафик для серверов виртуального хостинга. Как показывает практика, это вызывает лишние проблемы у пользователей. Мы включаем систему в случае, когда есть серьезная проблема, которая влияет на всех пользователей сервера.

Мы не ведем статистику по отработанным атакам.
Пользую timeweb, на мой сайт была ДДОС-аткак, пока в htacess не заблочил IP с которого ддосили, сайт генерил высокую нагрузку на сервер. timeweb сразу начал ругаться. Лично я сначала не знал, отчего сайт грузит сервер. В службе поддержки говорили, мол, разбирайся сам или переходи на дорогой тариф. Пришлось разобраться.

Возможно, это и правильно. Но те, кто используют вирт-хостинг, ИМХО, мало в админских делах и защите от ДДОС-атак разбираются.

PS: К слову, сайт-таки отрубили за превышение нагрузки (предупреждали, что отрубят, да — сам виноват). Перевел на другой тариф, но вот уже в течении часа включить не могут. (Оператор ответит на тикет в течении 6 часов).
ура! заработало! (с)
Проблема защиты пользовательских сайтов заключается в их количестве. Насколько мне известно — ни один хостинг-провайдер не защищает превентивно конкретные сайты. Сервера и системы — да, но не сайты. Но и здесь необходимо учитывать, что фильтры, которые хороши для защиты одного или нескольких сайтов — могут иметь ровно аналогичные негативные последствия для работы других.
UFO just landed and posted this here
Подобные действия справедливы, когда на сервере размещается только один сайт (клиент). Когда на сервере размещается множество сайтов блокировка ip может привести к тому, что пострадают остальные сайты на сервере и пользователи, которые находятся за этим адресом.

Как я уже сказал — все наши действия должны учитывать множество факторов.
UFO just landed and posted this here
Сколько стоит такая штука?

По опыту, Zywall на 100к сессий примерно такого же фактора 2U — 200к рублей. Плюс подписки годовые…
Zywall немного не того уровня железка.
Да и 100к сессий это не о чем в принципе.
Цена отличается примерно на порядок.
Стоимость зависит от лицензии на фильтрацию (от 1 до 10Gbit). Но цена в любом случае больше 100 тысяч евро.
Это был udp трафик, он «остался» на фильтрах выше.
Тогда есть два вопроса:
1. Зачем нужен Arbor, если есть «фильтры выше»?
2. Если ддосили udp трафиком, то почему вырос SYN Flood трафик, который связан с TCP только?
1. Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pravail отлично работает с атаками на приложения.
2. Атака была не только udp.
ваша классификация атак — убога. чуть более чем полностью.

Предлагаю вам новую, более лучшую версию:
0. на полосу пропускания. (dns amp)
1. на сетевую инфраструктуру (route cache fanout)
2. на tcp стэк (sockstress, synflood)
3. на приложение

Простите великодушно, но ваш уровень экспертизы меня огорчает беспредельно.
Александр, основное назначение данной статьи — информация. Она отражает наше мнение о возможностях конкретного устройства. Мы посчитали, что показывать «пустые» графики будет не интересно.
Если вдруг мы решим разобрать на составляющие конкретную ддос атаку — да, там будет больше технической информации.

А на данном этапе — я предлагаю вам немного успокоиться.
Продолжительность атаки примерно 30 минут, с 16:20 до 16:50. Не расскажите почему у вас в этот период времени вырос passed трафик, а также упало кол-во запросов по сравнению с моментом до и после атаки? Также было бы интересно услышать ваше мнение о причинах появления ICMP трафика.
А Вы, товарищь, умеете читать графики. Дьявол — он, как известно, в деталях…
Passed вырос потому, что настройки на Pravail были не оптимальны и он пропустил часть атаки. Запросы провалились из-за фильтра, возможно была заблокирована страна. ICMP мы не закрываем по политическим причинам.
т.е., переводя на русский, вы пропускали атаку и при этом блокировали нормальный трафик и в таких количествах что это читается даже на скриншотах?

А вы исследовали какие именно контр-меры использует Pravail для «отличной работы» с атаками на приложение? Можете их перечислить?
а если у вас >100gbps ?) для небольших хостеров может и покатит, но и то, довольно сомнительно
Вы имеете ввиду 100gbps атаки? В этом случае работают совсем другие принципы =)
Петр, добрый.

Ожидания оправдались в достаточной мере. Арбор хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.
Т.е. ваша система классификации получила полноценное развитие и Вы вывели третий класс атак?
Подумайте над публикацией whitepaper на ACM. Поистине новаторская разработка!

10 апреля 2013 в 22:16 (комментарий был изменён)# ↵↑
1. Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pravail отлично работает с атаками на приложения.
2. Атака была не только udp.
Sign up to leave a comment.