Комментарии 46
Ностальгия.
мимо
А запись после вебинара будет опубликована?
Отличная статья! От себя добавлю лишь то, что стоимость решения по защиту от атак в 1Гигабит (смешной объем, правда?) стоит сильно за 1 миллион рублей за устройство (Arbor Pravail).
Если правда компания хочет защиты, рекомендую обращаться к специализированным компаниям, которые оказывают именно услугу (до 500 гигабит? Легко!), это выйдет в сотни раз дешевле, чем затариваться гробами от Arbor на случай атаки, которо, й в общем, может и не быть.
Если правда компания хочет защиты, рекомендую обращаться к специализированным компаниям, которые оказывают именно услугу (до 500 гигабит? Легко!), это выйдет в сотни раз дешевле, чем затариваться гробами от Arbor на случай атаки, которо, й в общем, может и не быть.
«Специализированные компании» в случае атаки заворачивают трафик через себя. И это место может легко оказаться за пределами РФ, что в некоторых случаях может быть неприемлемо (госструктуры).
Есть в наличии достаточное число соответствующих компаний в России, без выхода за пределы РФ — я лично пользуюсь услугами по меньшей мере 2х.
Кроме этого, пользоваться Американским Атласом и Американским Арбором — это для гос компаний приемлемо? Учитывая, что 99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.
Да и вообще — если если у «Гос Компаний» какие-то проблемы с тем, что Интернет — сеть неожиданно глобальная, я могу предложить им отключиться от нее, раз их это так коробит.
Кроме этого, пользоваться Американским Атласом и Американским Арбором — это для гос компаний приемлемо? Учитывая, что 99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.
Да и вообще — если если у «Гос Компаний» какие-то проблемы с тем, что Интернет — сеть неожиданно глобальная, я могу предложить им отключиться от нее, раз их это так коробит.
«99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.» — это преувеличение. Сигнатуры – важная, но не единственная составляющая борьбы с DDoS-атаками. Очень много атак отбивается без сигнатур, с применением стандартных противомер. Недаром в статье упоминается, что «то же самое коллеги говорят и о сигнатурах – насколько велика не была бы сеть сенсоров и сколько бы трафика в ней не анализировалось, полагаться только на сигнатуры нельзя».
Да, ATLAS создан и поддерживается американской компанией, однако содержит информацию о тенденциях и событиях в глобальной сети и фактически является уникальной базой данных и знаний. Использовать ли эти знания, каждый решает сам. Кроме того, начиная с версии ПО Pravail 5.6 автоматическое скачивание может быть отключено. Сигнатуры ATLAS могут быть загружены и установлены администратором системы вручную.
Да, ATLAS создан и поддерживается американской компанией, однако содержит информацию о тенденциях и событиях в глобальной сети и фактически является уникальной базой данных и знаний. Использовать ли эти знания, каждый решает сам. Кроме того, начиная с версии ПО Pravail 5.6 автоматическое скачивание может быть отключено. Сигнатуры ATLAS могут быть загружены и установлены администратором системы вручную.
Тут речь шла про то, что в случае санкций это ровно также превратится в тыкву, а не про то, что плохо, что сигнатуры скачиваются :) А без сигнатур Arbor — это умный фаерволл к которому обязательно нужен оператор, не более.
Ошибаетесь. В тыкву никто не превратится, потому как арбор (как в прочем и остальные, например периметр от мфи софт) это прежде всего инструмент. И это инструмент умеет определенные контрмеры, эффективные при определенных атаках. Опять таки не нужно воспринимать ни арбор, ни железо других вендоров в качестве серебряной пули.
Ну, МФИ софт делается у нас и очень-очень-очень напоминает ранние Арборы :)))) Так что по нему точное никаких сомнений.
Конечно же, не стоит, ибо это задача комплексная и когда ее предлагают решить «вот железо за миллион и все будет зашибись», требуется так или иначе указать — что это далековато от истины.
Конечно же, не стоит, ибо это задача комплексная и когда ее предлагают решить «вот железо за миллион и все будет зашибись», требуется так или иначе указать — что это далековато от истины.
Сравнивать оборудование с сервисом не стоит. Одно другое не исключает, а дополняет. Именно поэтому в статье говорится о многоуровневой защите.
Локальное оборудование ставят когда хотят:
а) минимизировать простои и время задержки на активацию/переключение услуги;
б) работы с SSL без отдачи приватных ключей сторонней организации;
в) полного контроля над ходом очистки от атак до ширины канала без необходимости привлечения сторонней организации.
Локальное оборудование ставят когда хотят:
а) минимизировать простои и время задержки на активацию/переключение услуги;
б) работы с SSL без отдачи приватных ключей сторонней организации;
в) полного контроля над ходом очистки от атак до ширины канала без необходимости привлечения сторонней организации.
а) Решается CDN, почти все «услуги» есть на MSK-IX/Data-IX/SPB-IX, что сводит латенси до минимума
б) Это решено по меньшей мере месяц назад спецами из CloudFlare и опубликовано в публичный доступ: www.cloudflare.com/keyless-ssl
в) Возможно, аргумент, но все равно слабовато
б) Это решено по меньшей мере месяц назад спецами из CloudFlare и опубликовано в публичный доступ: www.cloudflare.com/keyless-ssl
в) Возможно, аргумент, но все равно слабовато
а) Услугу получать от IX? Простите, а если трафик полетит не с IX? Неужели вы довольствуетесь только IX связностью?
б) В данном случае cloudflare все равно видит не шифрованный трафик, хоть и не имеет сертификата. В некоторых случаях это недопустимо.
б) В данном случае cloudflare все равно видит не шифрованный трафик, хоть и не имеет сертификата. В некоторых случаях это недопустимо.
а) Речь про то, что ддос фильтраторы есть на IX и с ними очень легко получить прямую связанность, что решит проблемы с латенси. Никто же не говорит про фильтрацию на самом иксе.
б) А что мешает сделать шифрованный туннель до оператора DDoS защиты? Есть операторы, которые проводят HTTPS по GRE от клиента и выставляют его от своего имени и фильтруют не расшифровывая вообще, такой вариант вполне подходит и для тех, кому ну очень не хочется что-либо светить. Да, придется поменять DNS или отдать роутинг своих сетей, но данные вполне можно сокрыть ото всех кроме реального их получателя.
б) А что мешает сделать шифрованный туннель до оператора DDoS защиты? Есть операторы, которые проводят HTTPS по GRE от клиента и выставляют его от своего имени и фильтруют не расшифровывая вообще, такой вариант вполне подходит и для тех, кому ну очень не хочется что-либо светить. Да, придется поменять DNS или отдать роутинг своих сетей, но данные вполне можно сокрыть ото всех кроме реального их получателя.
а) а вы могли бы привести примеры antiddos сервиса от IX? Представляете себе как ее вообще можно организовать сервис на IX'е? Начните с простого, как выявлять флуд… Буду признателен за примеры. Либо вы предлагаете клиенту подключиться к IX и получив дешевую полосу самому фильтровать трафик, ну например тем же flowspec? А каким может оказаться реальное распределение amplification атак получаемых, например, через тот же MSK-IX? Вы уверены, что в отсутствии полной связности получаемой через IX вам прилетит именно оттуда, а не через upstream. Казалось бы купили полосу 100G на IX, а почему-то летит все в гигабитный линг вышестоящего провайдера.
б) предложите банкам или другим финансовым организациям в России использовать keyless-ssl, а потом расскажите нам, что услышите в ответ. А ведь как не странно они основные заказчики на защиту HTTPS.
б) предложите банкам или другим финансовым организациям в России использовать keyless-ssl, а потом расскажите нам, что услышите в ответ. А ведь как не странно они основные заказчики на защиту HTTPS.
а) Я такое не видел никогда, IX — это гора свичей, не более. Я уже упоминал IX как возможность доставки трафика по пути бэкэнд (защищаемый сервис) компании и фронтэнд компании по DDoS защите, IX — это просто способ быстрой коммутации точки А с точкой B, не более. Защита в IX — это отдельная и очень больная тема, там и без атак часто ад творится.
б) Мы говорим о технических аспектах, а это уже организационный. Если мы уйдем в крайности, то дойдем до установки управления ядерными ракетами, но рынок защиты от DDoS не кончается на финансовых компаниях, он намного крупнее и рассматривать отдельных игроков и тем более ровняться на них (упасите!) не стоит.
б) Мы говорим о технических аспектах, а это уже организационный. Если мы уйдем в крайности, то дойдем до установки управления ядерными ракетами, но рынок защиты от DDoS не кончается на финансовых компаниях, он намного крупнее и рассматривать отдельных игроков и тем более ровняться на них (упасите!) не стоит.
Если правда компания хочет защиты, рекомендую обращаться к специализированным компаниям, которые оказывают именно услугу (до 500 гигабит? Легко!)
Таки легко? Назовите отечественные специализированные компании, которые это могут сделать легко?
Если я их назову здесь, это будет рекламой, я с ними никак не аффелирован, но если Вы полистаете мои комментарии в профиле, в других темах (где это не было офтопом) я их упоминал.
Можно не называть, они всем известны. К некоторым отношусь с глубоким уважением.
Но если интересно, то откройте, например, bgp.he.net и посмотрите на граф связности их AS. Затем посмотрите на то, кто для них является апстримом и подумайте, что будет если один из них поймает даже 300Гбит/с. Для того, чтобы было проще рассуждать накину пару вопросов куда смотреть:
1. Сколько у AS апстримов (на удивление некоторые имеют одного, а значит апстриму придется есть в одиночку)?
2. Насколько широкий апстрим?
3. Что сделает апстрим, если флуд начнет аффектить на других не менее важных клиентов, трафик которых начнет дропаться в силу отсутствия полосы по каким-то направлениям?
4. А ловил ли кто-нибудь из них реально даже 200Gbps, чтобы вот так легко заявлять о своих способностях? Маршрутизация она такая, что даже наличие 500Gbps свободной полосы не означает равномерного распределения флуда по всем каналам.
Но если интересно, то откройте, например, bgp.he.net и посмотрите на граф связности их AS. Затем посмотрите на то, кто для них является апстримом и подумайте, что будет если один из них поймает даже 300Гбит/с. Для того, чтобы было проще рассуждать накину пару вопросов куда смотреть:
1. Сколько у AS апстримов (на удивление некоторые имеют одного, а значит апстриму придется есть в одиночку)?
2. Насколько широкий апстрим?
3. Что сделает апстрим, если флуд начнет аффектить на других не менее важных клиентов, трафик которых начнет дропаться в силу отсутствия полосы по каким-то направлениям?
4. А ловил ли кто-нибудь из них реально даже 200Gbps, чтобы вот так легко заявлять о своих способностях? Маршрутизация она такая, что даже наличие 500Gbps свободной полосы не означает равномерного распределения флуда по всем каналам.
Я могу отвечать предметно лишь зная про кого речь, с кем мы работаем активно — по меньшей мере имеют фронты на 4 аплинках, но эта информация у меня не из bgp.he.net (впрочем, там их тоже 4 штуки, только что посмотрел, весьма крупные — RETN, TT, Zayo), а просто из IP бэкэндов, на которые мне приходят коннекты.
Вы все правильно абсолютно говорите, да, есть риск, да, есть опасность. Но при всех этих недостатках эти решения-услуги на голову выше попытки самопально (пусть даже на Арборах) отбиться от атаки, согласитесь?
Вы все правильно абсолютно говорите, да, есть риск, да, есть опасность. Но при всех этих недостатках эти решения-услуги на голову выше попытки самопально (пусть даже на Арборах) отбиться от атаки, согласитесь?
10 Гбит/с отфильтровать — это задача не на миллион, а на пару тысяч. Арбор — это когда 100+ Гбит/с и сложная инфраструктура
Во сколько может клиенту обойтись защита от флуда 50 Гбит/сек? Существует ли on-demand сервис или это только решается покупкой оборудования?
Я не автор, но могу ответить :) On Demand варианта не существует (ведь Arbor живет именно продажей железа и облачных сигнатур). Защититься от флуда в 50 гигабит можно двумя способами:
- Купить 50 гигабит каналов у аплинка и воткнуть Peakflow/Pravail. Но если атака неожиданно упрется в емкость каналов — упасть и долго не подниматься
- Не покупать 50 гигабит каналов, но иметь аплинка/провайдера, у которого стоит Arbor Perakflow (из адекватных могу предложить лишь Telia Sonera, из не особо адекватных — Ростелеком). Но тут стоит отдавать себе отчет в том, что — провайдер может захотеть бесконечных денег за то, что даст доступ к этой услуге фильтрации, а может и вообще отказаться ее давать. Но в данном случае так или иначе нужен будет дивайс от Arbor по крайне мере для защиты от Application атак
День добрый!
Можно узнать в чем заключается неадекват относительно предоставляемой услуги защиты от DDoS? У вас реальный практический опыт использования услуги или просто слышали?
тарифы фиксированы как у Телии, так и у Ростелека.
из не особо адекватных — Ростелеком
Можно узнать в чем заключается неадекват относительно предоставляемой услуги защиты от DDoS? У вас реальный практический опыт использования услуги или просто слышали?
провайдер может захотеть бесконечных денег
тарифы фиксированы как у Телии, так и у Ростелека.
По DDoS? Нет, это мое общее впечатление от этой «компании». Я с ними почти 2 года бадался как юр лицо, чтобы они, в конце-концов, нам интернет в офисе починили, чтобы он не падал по 7 раз на сутки. В итоге дойдя до руководителя С-З филиала нам так и не починили интернет :) Итог просто — мы закрыли договор и перешли к другим компаниям.
Тарифы на что? На защиту?
Да, именно на защиту.
Круто, а порядок их каков?
Простите, а разве мы говорили о порядке цен? Я лишь прокомментировал
провайдер может захотеть бесконечных денег
Почему же? Мы говорим именно о порядке.
Я не говорил, что бесконечная цена означает не фиксированную цену, а говорил о том, что это может встать настолько дорого, что потеряет любой смысл.
Согласитесь, для небольшой компании миллион в месяц — цена бесконечная, а для госконторы и миллиардом можно разменяться.
Я не говорил, что бесконечная цена означает не фиксированную цену, а говорил о том, что это может встать настолько дорого, что потеряет любой смысл.
Согласитесь, для небольшой компании миллион в месяц — цена бесконечная, а для госконторы и миллиардом можно разменяться.
Согласитесь, для небольшой компании миллион в месяц — цена бесконечная
Соглашусь. Для всего есть свой покупатель. Порой часовой простой может стоить на порядок больше годового контракта.
Как показывает практика, лежка от безалаберности и халатности намного дольше (хотя именно это часто сводят на «на нас атака, что вы от нас хотите!»), чем от DDoS, я искренне считаю тему DDoS перегретой настолько, что его боятся все, кто с атаками не столкнется никогда в жизни, но ему навязали идею, что он в опасности и ему нужно защищаться. Это тоже не особо хорошо.
по рынку сейчас — 10-20 тысяч в месяц, если on-demand
Для малых компаний DDoS это излишество.
Достаточно пары тысяч ложных заказов/заявок, да еще если и АТС положить то пару дней парализации деятельности предприятия вполне стоят запрошенной дани.
Достаточно пары тысяч ложных заказов/заявок, да еще если и АТС положить то пару дней парализации деятельности предприятия вполне стоят запрошенной дани.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Особенности отражения DDoS атак и история атаки на один крупный банк