Robot_NagNews Опубликовано 15 сентября, 2010 · Жалоба Материал: Решение по защите от DDoS в Лаборатории Касперского «Kaspersky DDoS Prevention» решили делать "своими руками" несколько лет назад, но только в 2008м решение из перспективного проекта перешло к реальному воплощению. Еще порядка полутора лет потребовалось на создание и доводку аппаратно-программного комплекса до "боевой версии", выбор типологии размещения: только с лета 2010 года подобную услугу, на базе этого решения, стали предлагать широкому спектру коммерческих клиентов. О специфике решения, его стоимости, эффективности и SLA, а также о специфике DDoS-атак нам рассказал менеджер проектов DdoS Prevention «Лаборатории Касперского» Михаил Савельев. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость romane Опубликовано 15 сентября, 2010 · Жалоба Интересно кто следующий? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 15 сентября, 2010 · Жалоба После ухода Cisco с рынка решений для защиты от DDoS-атак все другие оживились. Arbor Networks небезосновательно воспрял духом - ибо Cisco теперь рекомендует Arbor Peakflows SP. Активизировались другие вендоры. Честно говоря, я рассчитывал, что Kaspersky, будучи достаточно технологичным разработчиком, ввяжется в эту гонку и предложит свое решение рынку. Но не в виде сервиса, а именно в виде массово продаваемого и разумного по деньгам решения. Чисто софтового на ферме Xeon'овских серверов. Или же "аппаратные" решения на промышленных платформах типа ATCA с использованием сетевых процессоров Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3. Собственно именно это делает Arbor для тяжелых TMS'ов, делает Allot, в виде аплайнсов делает Radware, делают другие менее знаменитые вендоры. А тут опять сервис... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2010 · Жалоба А нахера какой нибудь небольшой и средней фирме закорачиваться с покупкой железа, каналами, спецами, когда проще платить относительно небольшую сумму в месяц. Точно также и касперам нахер не сдались всякие непонятные железяки, у них полно спецов по х86, что знают то и пилят. Может когда нибудь у них потребности дорастут до специфичного железа и стоимость этого будет оправдана, пока им и так вполне хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 16 сентября, 2010 (изменено) · Жалоба Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3 - непонятные железки?! Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков! Единственно рабочая схема для построения защиты от DDoS-атак на платформе x86 - это подобие того, что kostich описывал - ферма Xeon-серверов с 1GbE-портами на i82576EB + load-balancing на внешнем коммутаторе. Kostich цифры приводил - его железка на средненьком Xeon'е E5420 тянет 1Mpps SYN-флуда. У того же Arbor'а софтверный TMS2500 выдает суммарно на всех 1GbE-портах до 1,8Mpps. Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB. И тоже радикально больше по Mpps'ам разогнать платформу x86 при обработке TCP SYN Flood с 64-байтными пакетиками ну никак не удается - упираемся в ограничение платформы. И вывод из этих экспериментов только один - реализовывать промышленные решения для защиты от DDoS-атак только на предназначенных для этих задачах платформах - на топовых сетевых процессорах типа XLP832 или CN6880, или же для маньяков/военных - на топовых FPGA с максимальным прокачиванием производительности. Если железки лень разрабатывать - можно взять готовые масштабируемые платформы в ATCA-конструктиве - ccpu.com , emersonnetworkpower.com , ge-ip.com , radisys.com и пр. Для более легких решений можно взять готовые платформы под аплайнсы вроде AdvanTech NCP-5120. Но опять же - взять платформы со специально предназначенными для сетевой обработки чипами. Ну ведь никто вменяемый не делает тяжелые маршрутизаторы уровня MX-960 на писюках! Изменено 16 сентября, 2010 пользователем Dimitry_Repan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 17 сентября, 2010 · Жалоба Да, делать надо на узко заточенных процессорах. Вопрос: зачем это надо и кому, потягаться с Арбором? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 17 сентября, 2010 · Жалоба Сервисы просто выгонее. ;-) Атаки - штука нечастая, и одновременные крупные атаки - скорее исключение. Значит клиентов вожно "мултиплексировать".... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 17 сентября, 2010 · Жалоба потягаться с Арбором? Вы серьезно считаете Arbor Peakflow SP эталонным решением ?! С 3.1 Mpps при SYN-фладе на 10GbE-порте для "хардварного" Arbor TMS-3100 ?! Да тот же DefensePro 8412 (тоже "хардварный", только вместо двух Netlogic/RMI XLR732 стоит EZChip NP-3) с GPL в два раза ниже TMS-3100 на 10GbE-порте честно держит SYN-флад в 10Mpps! Но и DP-8412 я тоже не доволен - есть минусы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 17 сентября, 2010 · Жалоба Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово. Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 17 сентября, 2010 · Жалоба Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово. Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится. Спрос надо просто уметь формировать. Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 17 сентября, 2010 (изменено) · Жалоба Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек... Да зачем МНЕ представлять?! Я фактически и есть Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек :) Плюс к этом есть собственная компания-разработчик из более 200 сотрудников. И мы не только разработкой Интернет-Банкинга последние 11 лет занимаемся. Мы ведем ресеч в технологических плоскостях. Есть, например, у нас лицензии ФСБ на разработку СКЗИ (такие же как у Крипто-Про), есть разработчики СКЗИ с профильным образованием 4-го факультета, ведем работы по сертификации наших решений в 8-м Центре ФСБ (бывшее ФАПСИ). Например, БИФИТ первая в России компания, в рамках пилота разработавшая для IBM Z9/Z10 под z/OS криптобиблиотеку с российскими ГОСТами. Кстати, Вы много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10? А когда в IBM'овском Центре тестировались на мейнфреймах вопросы были: "Кто Ваш заказчик в России на столь специфичное приложение для мейнфрейма - ЦБ или РЖД?" Или вот есть у нас "карточное" направление - разработка КОС (карточная операционная система) и СКЗИ (средство криптографической защиты информации) для защищенных карточных чипов. Сейчас завершаем тестирование КОС и встроенного в него СКЗИ для двух платформ ST23 STMicroelectronics и P5 NXP. С третьей платформой - от Samsung'а - не сложилось... Сделали также отдельные решение, включая СКЗИ с российскими ГОСТами, для 32-битных ядер - старого ARM7TDMI (раньше) и нового ARM Cortex-M3 (недавно). Да много чего делаем в рамках исследований. Но ресурсы, в том числе финансовые, стараемся тратить разумно, аккуратно. Например, то же направление защиты от DDoS-атак. Больше года работаем. Много уже вложено. Организован Центр очистки трафика и чистим на халяву трафик нашим банкам для системы "iBank2" (финансирую из фонда развития и техподдержки). В рамках этой же площадки проводятся опытная эксплуатация потенциальными заказчиками решений Radware DefensePro и Arbor Peakflow SP. Постоянно наращивается компетенция в боевых условиях, а не только на лабораторных стендах. Планирую и дальше развивать это направление. И в первую очередь ПРОДАЖИ. Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка). Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства. Поэтому сейчас и ближайший год точно никаких промышленных разработок в направлении DDoS-решений начинать не буду. Только продажи, ресёч и наращивание компетенции. Сейчас главное - научиться продавать сделанное другими. А уже потом можно подумывать о разработке своего продукта, если рынок продемонстрирует спрос. Вот такая реальность... Изменено 17 сентября, 2010 пользователем Dimitry_Repan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 17 сентября, 2010 (изменено) · Жалоба Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.Неправильно это, нечестно... Изменено 17 сентября, 2010 пользователем Dimitry_Repan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 сентября, 2010 (изменено) · Жалоба много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10? А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных? ( http://www-03.ibm.com/systems/ru/z/z9bc/ последний абзац :) ) Изменено 17 сентября, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 17 сентября, 2010 · Жалоба А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных?Для нативных приложений - да. При разработке криптопримитивов необходимо максимально эффективно использовать возможности архитектуры процессора и при этом аккуратно обходить острые углы (недостатки, особенности) этой же архитектуры. Особенно это актуально для эллиптических кривых. Когда портировали iCrypto под z/OS и z/Linux - ребята много повозились. Но по большей части в оптимизации производительности под архитектурные особенности Z9 дабы выжать по-максимуму. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 сентября, 2010 (изменено) · Жалоба Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так? Изменено 17 сентября, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 17 сентября, 2010 · Жалоба Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.Неправильно это, нечестно... Ой, да ладно Вам, Дмитрий!Зато дёшево, надёжно и практично! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 17 сентября, 2010 · Жалоба Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка). Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства. Ну так вот я именно об этом. А Вы все и так прекрасно знаете :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bifit Опубликовано 17 сентября, 2010 · Жалоба Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так?Никакая не опечатка. Есть 31-битная z/OS для совместимости со старыми приложениями и есть 64-битная z/OS. z/Linux только 64-битный. Кстати, процессоры в z/Systems - свои собственные, а не POWER, как некоторые думают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Алекс Опубликовано 19 сентября, 2010 · Жалоба Идея, как всегда, отличная. Реализация, как всегда - так себе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
duke Опубликовано 20 сентября, 2010 (изменено) · Жалоба Не совсем ясно причем тут железки... Вобше писалось же о сервисе.. как ясно из рисунков много компанетном и децентрализовоном... А с железкой все сходиться к одному устройству... которое надо резервирывать и тд. Изменено 21 сентября, 2010 пользователем duke Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 сентября, 2010 · Жалоба Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков!Касперы из мира х86, как и большинство.Им проще купить больше в любом ларьке по дешману и ле Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB.Ядра друг другу не мешаются?В смысле не пробовали выжимать больше на 1-2 ядрах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...