Комментарии 14
А какое решение вы испольузете? Arbor? Или что-то самописное? Есть ли возможность отдавать вам логи nginx (как это делает QRator) или netflow, чтобы не раскрывать сертификат?
И кстати, зачем такое усложнение с маршрутизацией, почему не использовать обычный ipip/gre от сервера к центру очистки?
И кстати, зачем такое усложнение с маршрутизацией, почему не использовать обычный ipip/gre от сервера к центру очистки?
Нет такого протокола Speedy
Настоящий адрес сервера 95.213.254.15 используется для организации соединений со стороны сервера, например, для apt-get update и для администрирования и мониторинга сервера, допустим, по ssh.
Защищенный (203.0.113.34 в примере) и настоящий (198.51.100.15 в примере) адреса
необходимо держать в секрете, а их рассекречивание может привести к DDoS-атаке мимо комплекса очистки.
Какая-то путаница в адресах
95.213.254.15 что это за адрес? он встречается в описании один раз и значится как настоящий
хотя в примере числится 198.51.100.15 как настоящий
перечитал три раза, не понял
и мне не понятно система proxy зачем пропускать исходящий трафик через proxy? это подходит только для реализации платформы qrator(не размещенной на площадке selectel)?
Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик
С адресами путаницу посмотрю, спасибо.
Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»
«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.
Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»
«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.
А если статистика, сколько было прямых атак на «секретные» ip-адреса?
Ибо сама концепция кажется порочной — вы хотите, чтобы клиентам было максимально просто, и это действительно так на первый взгляд. Но стоит хакеру зарегистрироваться на сайте, получить письмо с сайта и вуаля, «секретный» адрес рассекречен. Или вы объясняете клиентам, что надо отправлять почту через SMTP с другого сервера? Так в чем тогда простота? Многие движки позволяют раскрыть реальный ip довольно легко, и защита от этого не всегда тривиальна. Про игровые серверы вообще молчу.
Вопрос к сообществу — в России в 2018 кто-нибудь умеет предоставлять bgp specflow + bgp blackhole за адекватные деньги?
Ибо сама концепция кажется порочной — вы хотите, чтобы клиентам было максимально просто, и это действительно так на первый взгляд. Но стоит хакеру зарегистрироваться на сайте, получить письмо с сайта и вуаля, «секретный» адрес рассекречен. Или вы объясняете клиентам, что надо отправлять почту через SMTP с другого сервера? Так в чем тогда простота? Многие движки позволяют раскрыть реальный ip довольно легко, и защита от этого не всегда тривиальна. Про игровые серверы вообще молчу.
Вопрос к сообществу — в России в 2018 кто-нибудь умеет предоставлять bgp specflow + bgp blackhole за адекватные деньги?
На «секретные» адреса атак практически нет — их не разглашают. Плюс есть возможность их сделать «серыми».
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.
только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.
только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.
BGP RTBH бесплатно предоставляют все, у кого оно реализовано. Flowspec (не specflow :-) ) очень хорошо реализован на сети РЕТН. Кстати у них есть также extended RTBH, к сожалению сервис платный.
Но следует всегда помнить, что если вы собираетесь защищать от DDoS конкретные сервисы, то ни BGP Flowspec, ни RTBH при таргетированных на сервис атаках вам не поможет.
Но следует всегда помнить, что если вы собираетесь защищать от DDoS конкретные сервисы, то ни BGP Flowspec, ни RTBH при таргетированных на сервис атаках вам не поможет.
afaik, RETN flowspec делает только сам внутри себя, не давая клиентам сделать flowspec правила на свои сети.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.
Все хорошо у РЕТН со Folwspec, и клиентам данный сервис тоже предоставляется (естественно не бесплатно :-) ) с такими же ограничениями по prefix-limit в 10 префиксов, как и у RASCOM. А вот с Arbor, в контексте DDoS-mitigation, там не все так радужно из-за лицензионного ограничения полосы TMS. Зато реализован огромный потенциал сигнализации от Arbor.
На всякий случай ссылка на сервис от РЕТН:
retn.net/ru/services/ip-guard
На всякий случай ссылка на сервис от РЕТН:
retn.net/ru/services/ip-guard
А в чем идея второго секретного адреса (203.0.113.34) на сервере? Почему нельзя использовать его настоящий (198.51.100.15)?
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как устроена расширенная защита от DDoS в Selectel