Открыть список
Как стать автором
Обновить

Комментарии 14

А какое решение вы испольузете? Arbor? Или что-то самописное? Есть ли возможность отдавать вам логи nginx (как это делает QRator) или netflow, чтобы не раскрывать сертификат?
И кстати, зачем такое усложнение с маршрутизацией, почему не использовать обычный ipip/gre от сервера к центру очистки?
у партнера Арбор и Ф5. В общем случае логи нгинкса — нет, а QRator тоже можем подключить.
Усложнение маршрутизации — чтобы на сервере ничего не настраивать, все сложности с маршрутизацией мы берем на себя.
Т.е. чисто теоретически вы можете использовать любой центр очистки, без дополнительных телодвижений со стороны клиента?
Настоящий адрес сервера 95.213.254.15 используется для организации соединений со стороны сервера, например, для apt-get update и для администрирования и мониторинга сервера, допустим, по ssh.

Защищенный (203.0.113.34 в примере) и настоящий (198.51.100.15 в примере) адреса
необходимо держать в секрете, а их рассекречивание может привести к DDoS-атаке мимо комплекса очистки.

Какая-то путаница в адресах
95.213.254.15 что это за адрес? он встречается в описании один раз и значится как настоящий
хотя в примере числится 198.51.100.15 как настоящий
перечитал три раза, не понял
и мне не понятно система proxy зачем пропускать исходящий трафик через proxy? это подходит только для реализации платформы qrator(не размещенной на площадке selectel)?
Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик
С адресами путаницу посмотрю, спасибо.

Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»

«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.
прошло 3 месяца (=
можно путаницу уже исправить? (=
я не понимаю как это работает
А если статистика, сколько было прямых атак на «секретные» ip-адреса?

Ибо сама концепция кажется порочной — вы хотите, чтобы клиентам было максимально просто, и это действительно так на первый взгляд. Но стоит хакеру зарегистрироваться на сайте, получить письмо с сайта и вуаля, «секретный» адрес рассекречен. Или вы объясняете клиентам, что надо отправлять почту через SMTP с другого сервера? Так в чем тогда простота? Многие движки позволяют раскрыть реальный ip довольно легко, и защита от этого не всегда тривиальна. Про игровые серверы вообще молчу.

Вопрос к сообществу — в России в 2018 кто-нибудь умеет предоставлять bgp specflow + bgp blackhole за адекватные деньги?
На «секретные» адреса атак практически нет — их не разглашают. Плюс есть возможность их сделать «серыми».
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.

только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.
BGP RTBH бесплатно предоставляют все, у кого оно реализовано. Flowspec (не specflow :-) ) очень хорошо реализован на сети РЕТН. Кстати у них есть также extended RTBH, к сожалению сервис платный.
Но следует всегда помнить, что если вы собираетесь защищать от DDoS конкретные сервисы, то ни BGP Flowspec, ни RTBH при таргетированных на сервис атаках вам не поможет.
afaik, RETN flowspec делает только сам внутри себя, не давая клиентам сделать flowspec правила на свои сети.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.
Все хорошо у РЕТН со Folwspec, и клиентам данный сервис тоже предоставляется (естественно не бесплатно :-) ) с такими же ограничениями по prefix-limit в 10 префиксов, как и у RASCOM. А вот с Arbor, в контексте DDoS-mitigation, там не все так радужно из-за лицензионного ограничения полосы TMS. Зато реализован огромный потенциал сигнализации от Arbor.
На всякий случай ссылка на сервис от РЕТН:
retn.net/ru/services/ip-guard
А в чем идея второго секретного адреса (203.0.113.34) на сервере? Почему нельзя использовать его настоящий (198.51.100.15)?
ребята, мы арендовали у вас 5 серверов, каждый день наблюдал ситуацию когда ваша защита не давала подключаться к корпоративным сайтам. Выглядит так — в 10 часов утра торговые начинают подключаться к северстали и сайт с какого то момента перестает подгружаться, и так целый день, иногда проходит иногда нет, как только 6 вечера все начинает летать!

а ваша тех поддержка футболила 2 месяца

до ддос атаки на вашу сеть все с северсталью было нормально, также глючит личный кабинет ryher — а это крупнейший поставщик металлоизделий
вот из за вот таких вот рабочих «косячков» сейчас идут переговоры чтобы вывести инфраструктуру с селектела
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.