Комментарии 69
Пицца то у них вкусная?
Зачем вы пиццу первой картинкой выложили?!
Простите, 15Гбит — и проблемы у аплинков? Что ж это за аплинки такие хиленькие?
Максимальная производительность сетевых интерфейсов, что могут в настоящий момент технически реализовать системы виртуализации – 10 гигабит на платформе VMware. В данном случае 15 гигабит интенсивной адресной атаки гарантированно вывели из строя подопытного кролика в случае, если бы ДДоС защита не сработала.
Тестовый сценарий по первому этапу предполагал адресную атаку подопытных ресурсов и в последствии мы указали, что позволили атакующим максимально поглумиться над прочностью системы защиты.
Тестовый сценарий по первому этапу предполагал адресную атаку подопытных ресурсов и в последствии мы указали, что позволили атакующим максимально поглумиться над прочностью системы защиты.
Проблемы инстанса — это отдельный вопрос, вы сказали, что у вас аплинкам поплохело, а потом сказали, что воспроизвели такой же уровень нагрузки в тесте. И этот уровень нагрузки — 15 гигабит. Повторю вопрос: что ж это за аплинки такие, которые 15 гигабит боятся?
В конечном этапе мы воспроизвели атаку более 100 гигабит. Ваш вопрос с точки зрения практической стороны не совсем корректен, так как, к примеру, подмосковный широкополосный оператор, имеея абонентскую базу боле 100 000 пользователей, имеет суммарный объем аплинков в 70 гигабит, поскольку работает в переподписке трафика и даже его аплинки не работают в предельных значениях каналов. Такая же картина и у нас: дело в том, что мы не магистральный и не широкополосный оператор и терабитными скоростями не оперируем. Впрочем, как и большинство участников MSK-IX
Здравствуйте! Скажите, подобная защита от DDoS входит в стоимость или оплачивается отдельно?
а могут они как оказалось достаточно много (третья волна видна на графике):На сколько я наблюдаю на графике атака в районе всего-то пол-Mpps. Извините, но это абсолютно несерьёзно для нагрузочного тестирования. Собственно, с такими детскими атаками облачному хостингу нужно справляться своими средствами.
НЛО прилетело и опубликовало эту надпись здесь
50-120 гигабит ??? O_o
Проблемы начались, когда эту активность заметили конкуренты – другие сети пиццерий — и перешли к наступлению
Есть какие-то факты, это подтверждающие, а не догадки? Или ответ будет в стиле Псаки: «у нас есть неопровержимые доказательства, но Вам мы их не покажем»?
Последние дата-центры, куда переключался наш клиент, были в Европе (Нидерланды, Германия, Чехословакия)
Это на какой карте существует такая страна, как Чехословакия? Секретные карты Гугл 1980-х годов? Или наше правительство нас обманывает, Европа совсем не такая, Чехословакия существует, а у Белоруссии и правда есть берега?
Обновлено на Чехию.
Налетели на карму мою как коршуны. А фактов, подтверждающих, что это происки конкурентов так и не предоставили. Это такая политика — минусовать тех, кто задаёт неудобные вопросы? Вместо того, чтоб ответить по существу? Мол: «Фактов нет, это предположение». Или: «Факты есть, но (по таким-то причинам) их не указали».
Негативный комментарий против политической чернухи на Хабре
Вы берега не попутали политоту на Хабре разводить? Может быть я кретин, конечно, но меня ремарка про Псаки крайне зацепила, т.к. форсирование ее личности (исключительно за счет фамилии) на просторах РФ обычно классифицируется как прокремлевская пропаганда, не имеющая ничего общего с реальностью.
Вы отлично справились с удушением политического срача на Хабре в зародыше не плохо так вбросив!
Может высутпая против политики не стоит одновременно провокационные вбросы делать?
Вы либо крестик снимите… ;)
Может высутпая против политики не стоит одновременно провокационные вбросы делать?
Вы либо крестик снимите… ;)
По чью душу комментарий? naum или по мою?
naum
Цитата слов политика (а не упоминание имя сего всуе) была к месту. Более того было ограничено конкретными фактами, связанными со статьёй. Я также мог бы процитировать любого иного политика или известную личность (если бы это было к месту), какие бы принципы и взгляды она не исповедовала. Так что тёплое с мягким, пожалуйста, не путайте. На мой сугубо субъективный взгляд, более политизированным выглядит именно Ваш пост. И как уж Вы там что классифицируете и каких политических взглядов — мне совершенно безразлично. Чужая голова — потёмки.
Цитата слов политика (а не упоминание имя сего всуе) была к месту. Более того было ограничено конкретными фактами, связанными со статьёй. Я также мог бы процитировать любого иного политика или известную личность (если бы это было к месту), какие бы принципы и взгляды она не исповедовала. Так что тёплое с мягким, пожалуйста, не путайте. На мой сугубо субъективный взгляд, более политизированным выглядит именно Ваш пост. И как уж Вы там что классифицируете и каких политических взглядов — мне совершенно безразлично. Чужая голова — потёмки.
После переброски DNS на новые месторасположения, другие облачные операторы (не будем их называть), практически сразу становились недоступными (поскольку мы сами также мониторили происходящую ситуацию не только из интересов любопытства).
Можете поподробнее рассказать каким образом осуществлялся мониторинг?
НЛО прилетело и опубликовало эту надпись здесь
У Voxility есть PoP в России или ваши серверы в Европе? (вопрос навеян фразой о прямом подключении)
Вряд ли, но всегда можно построить прямой туннель по арендованной лямбде или просто арендовать IPT туннель у магистральщиков.
Ну так-то можно и GRE поднять =)
а GRE у вас будет передаваться по тому-же каналу который DDoS переполнил?
GRE — очень большой источник проблем с MTU, если http их переживет более-менее нормально благодаря path mtu discovery, то UDP особенно с флагами «do not fragment» будет нищадно дропаться, на что пользователи будут очень сильно возмущаться (читать — рвать оператора в клочья!).
Поэтому вариант переброски всего трафика вообще по GRE — не лучшая идея. Ну и как подметил flx в комментарии ниже — не стоит забывать, что внешние каналы забиты и пропустить трафик по ним же — не получится.
Решить проблемы GRE можно подняв MTU на магистрали (если у вас есть-таки резервный линк до компании по защите), но магистрали вряд ли захотят передавать пакеты с MTU более 1500, а чтобы GRE мог пропускать через себя пакеты с нормальным MTU — нужно пропускать по магистрали пакеты с MTU около 1524, что почти неосуществимо без долгих переговоров с конкретными аплинками. А если такая возможность есть, то скорее всего можно сделать и l2/vlan/mpls, а значит можно просто сделать свой анонс из другого места и это наиболее прямой и предпочтительный вариант «полной защиты» префиксов.
Поэтому вариант переброски всего трафика вообще по GRE — не лучшая идея. Ну и как подметил flx в комментарии ниже — не стоит забывать, что внешние каналы забиты и пропустить трафик по ним же — не получится.
Решить проблемы GRE можно подняв MTU на магистрали (если у вас есть-таки резервный линк до компании по защите), но магистрали вряд ли захотят передавать пакеты с MTU более 1500, а чтобы GRE мог пропускать через себя пакеты с нормальным MTU — нужно пропускать по магистрали пакеты с MTU около 1524, что почти неосуществимо без долгих переговоров с конкретными аплинками. А если такая возможность есть, то скорее всего можно сделать и l2/vlan/mpls, а значит можно просто сделать свой анонс из другого места и это наиболее прямой и предпочтительный вариант «полной защиты» префиксов.
Серверы есть в Европе (Франкфурт, Нидерланды) и в Москве и в Питере. От всех дата-центров канал MPLS с Voxility.
В Виргинии технически есть острова, не знаю есть ли там сервера, правда…
Если быть честным, то заголовок мне видится примерно так: «Как мы обосрались и быстренько все исправили. Особенности Национального Бизнеса». :)
Если автор не против — немножко поподробней раскройте понятие «флуд-сенсоры», с технической точки зрения.
Честно говоря, я тоже не понял, что имелось в виду. Мы используем вот такое решение, но оно пока не умеет анализировать лишь атаки на конкретные IP внутри нашей сети, а не любой флуд, так как это очень накладная операция :/
Я так предполагаю, что в данном контексте сенсор это простите за тавтологию сенсор. Попробую другими словами. Триггер, ожидающий того или иного события. Демон, который принимает входные данные и проверяет их по тому или иному критерию.
Павел, простите конечно, но логично, что вы используете такое решение, т.к. вы же и являетесь разработчиком данного решения.
Я думаю все же в таких масштабах используют аппаратные решения. У нас например стоял одно время F5 Viprion. Может быть до сих пор он и стоит в Оверсане. :)
Павел, простите конечно, но логично, что вы используете такое решение, т.к. вы же и являетесь разработчиком данного решения.
Я думаю все же в таких масштабах используют аппаратные решения. У нас например стоял одно время F5 Viprion. Может быть до сих пор он и стоит в Оверсане. :)
То, что оно с нашим авторством не всегда говорит, что мы его используем :) Перечитал про Viprion, трижды, не понимаю, почему Вы его предлагаете как сенсор? Сенсор атаки — не защита, а лишь триггер «мы под угрозой», а фильтрующая система должна подключаться уже после. Пропускать весь трафик через себя — очень накладная и часто неосуществимая задача (особенно, если ты — TIER1 оператор, как, например, TeliaSonera) и тут должно быть отдельное — анализирующее решение и отдельная фильтрующая ферма, куда заворачивается лишь грязный трафик.
Но чисто сенсоров кроме вот этих трех (да, наше решение тут снова есть):
Я не знаю. И буду очень рад их увидеть потому что часто задача фильтрации отдается на аутсорс (при атаках 50+ гигабит их решение самим провайдером уже нецелесообразно чисто экономически), но понять, что идет атака и _быстро_ (без даунтайма для клиентов!!!) переключиться на защитные системы — нужно самим и решений для этого довольно мало.
Но чисто сенсоров кроме вот этих трех (да, наше решение тут снова есть):
- www.andrisoft.com/software/wanguard/ddos-mitigation-protection
- bitbucket.org/tortoiselabs/ddosmon
- github.com/FastVPSEestiOu/fastnetmon
Я не знаю. И буду очень рад их увидеть потому что часто задача фильтрации отдается на аутсорс (при атаках 50+ гигабит их решение самим провайдером уже нецелесообразно чисто экономически), но понять, что идет атака и _быстро_ (без даунтайма для клиентов!!!) переключиться на защитные системы — нужно самим и решений для этого довольно мало.
НЛО прилетело и опубликовало эту надпись здесь
Не понял вопроса до конца :( Но попробую угадать ответ. Безусловно, такие компании есть. Но сама по себе активация защиты — вещь довольно затратная и довольно опасная для окружающих клиентов — судя по тому, что описано в данной статье, тут отбив атаки на одного клиента вызвал нарушения SLA у других.
Так что соглашаясь на провайдера с «включенной DDoS защитой» стоит готовится к тому, что даже если атаки на Вас не будет возможны проблемы из-за атак на соседей.
А если хочется услугу без забот — Voxility весьма неплохой выбор. Правда, у них только выделенные сервера и работают они только с компаниями. Но имеется приличное число реселлеров строящих услуги на их базе.
Так что соглашаясь на провайдера с «включенной DDoS защитой» стоит готовится к тому, что даже если атаки на Вас не будет возможны проблемы из-за атак на соседей.
А если хочется услугу без забот — Voxility весьма неплохой выбор. Правда, у них только выделенные сервера и работают они только с компаниями. Но имеется приличное число реселлеров строящих услуги на их базе.
Интересное решение. Вы молодцы. И за тулзу для поиска зловредного ПО на OpenVZ фермах спасибо, жаль что у нас KVM.
Несмотря на столь интенсивную DDoS-атаку, облачные сервисы Cloud4Y были доступны внешним клиентам.
Зачем вы
Было бы интересно увидеть классификацию DDoS-защит, потому что на разных уровнях нужно разное время на срабатывание (кому-то хватит и 10 секунд, чтобы понять, что трафик нелегитимный, а кто-то и 15 минут соображать будет). Какие есть ресурсы на этот счет?
Я знаю эту историю несколько с другой стороны…
Да, зимой была знатная заруба с пиццериями, но никаких «супер-страшных» гигабит по пиццериям вообще и вот этой конкретной пиццерии в частности нами не замечено.
Империя работала без перебоев ;)
Да, зимой была знатная заруба с пиццериями, но никаких «супер-страшных» гигабит по пиццериям вообще и вот этой конкретной пиццерии в частности нами не замечено.
Империя работала без перебоев ;)
Кстати, тесто у пиццы на картинке НЕПРАВИЛЬНОЕ.
НЛО прилетело и опубликовало эту надпись здесь
Что-то жрать захотелось…
> Несмотря на столь интенсивную DDoS-атаку, облачные сервисы Cloud4Y были доступны внешним клиентам.
Спасибо, поржали. :)
Спасибо, поржали. :)
при чем наша атака
ата ка, тогда уж…
Насколько мне известно Империя пиццы довольно быстро ушла с Cloud4Y. Поэтому не совсем корректно представлять этот кейс как success story. Миграция на другое облако осуществлялась сразу после новогодних праздников.
Легенды гласят, что техподдержка Cloud4Y подверглась социально-инженерной атаке со стороны организаторов DDoS и с потрохами сдала все IP-адреса, использовавшиеся сервисами Империи пиццы. И те прилегли окончательно.
В результате Империя пиццы переехала к другому отечественному облачному провайдеру (что легко проверить по whois), у которого техподдержка более тщательно идентифицирует обращающихся за «помощью». А защиту от DDoS организовали обычным образом — через Qrator.
Легенды гласят, что техподдержка Cloud4Y подверглась социально-инженерной атаке со стороны организаторов DDoS и с потрохами сдала все IP-адреса, использовавшиеся сервисами Империи пиццы. И те прилегли окончательно.
В результате Империя пиццы переехала к другому отечественному облачному провайдеру (что легко проверить по whois), у которого техподдержка более тщательно идентифицирует обращающихся за «помощью». А защиту от DDoS организовали обычным образом — через Qrator.
Насколько мне известно Империя пиццы довольно быстро ушла с Cloud4Y. Поэтому не совсем корректно представлять этот кейс как success story.
Вас явно дезинформировали, решение уйти пицца приняла далеко не сразу.
Легенды гласят, что техподдержка Cloud4Y подверглась социально-инженерной атаке со стороны организаторов DDoS и с потрохами сдала все IP-адреса, использовавшиеся сервисами Империи пиццы. И те прилегли окончательно.
Сказочная легенда, скажу я вам. Никакой социально-инженерной атаки не было.
В результате Империя пиццы переехала к другому отечественному облачному провайдеру (что легко проверить по whois), у которого техподдержка более тщательно идентифицирует обращающихся за «помощью».
Очередная легенда. В действительности пицца меняла провайдеров с большой частотой и в конечном результате оказалась у клауднс.
Который, кстати сейчас лежит ;)
Пруф
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анти-DDoS Voxility: чему нас научила война пиццерий