[Robot_NagNews]

Материал:

Решение по защите от DDoS в Лаборатории Касперского «Kaspersky DDoS Prevention» решили делать "своими руками" несколько лет назад, но только в 2008м решение из перспективного проекта перешло к реальному воплощению. Еще порядка полутора лет потребовалось на создание и доводку аппаратно-программного комплекса до "боевой версии", выбор типологии размещения: только с лета 2010 года подобную услугу, на базе этого решения, стали предлагать широкому спектру коммерческих клиентов. О специфике решения, его стоимости, эффективности и SLA, а также о специфике DDoS-атак нам рассказал менеджер проектов DdoS Prevention «Лаборатории Касперского» Михаил Савельев.

 

Полный текст

[Гость romane]

Интересно кто следующий?

[Dimitry_Repan]

После ухода Cisco с рынка решений для защиты от DDoS-атак все другие оживились.

 

Arbor Networks небезосновательно воспрял духом - ибо Cisco теперь рекомендует Arbor Peakflows SP.

 

Активизировались другие вендоры.

 

Честно говоря, я рассчитывал, что Kaspersky, будучи достаточно технологичным разработчиком, ввяжется в эту гонку и предложит свое решение рынку.

 

Но не в виде сервиса, а именно в виде массово продаваемого и разумного по деньгам решения.

 

Чисто софтового на ферме Xeon'овских серверов.

 

Или же "аппаратные" решения на промышленных платформах типа ATCA с использованием сетевых процессоров Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3.

 

Собственно именно это делает Arbor для тяжелых TMS'ов, делает Allot, в виде аплайнсов делает Radware, делают другие менее знаменитые вендоры.

 

А тут опять сервис...

[Ivan_83]

А нахера какой нибудь небольшой и средней фирме закорачиваться с покупкой железа, каналами, спецами, когда проще платить относительно небольшую сумму в месяц.

 

Точно также и касперам нахер не сдались всякие непонятные железяки, у них полно спецов по х86, что знают то и пилят. Может когда нибудь у них потребности дорастут до специфичного железа и стоимость этого будет оправдана, пока им и так вполне хорошо.

[Dimitry_Repan]

Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3 - непонятные железки?!

 

Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков!

 

Единственно рабочая схема для построения защиты от DDoS-атак на платформе x86 - это подобие того, что kostich описывал - ферма Xeon-серверов с 1GbE-портами на i82576EB + load-balancing на внешнем коммутаторе.

 

Kostich цифры приводил - его железка на средненьком Xeon'е E5420 тянет 1Mpps SYN-флуда.

 

У того же Arbor'а софтверный TMS2500 выдает суммарно на всех 1GbE-портах до 1,8Mpps.

 

Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB.

 

И тоже радикально больше по Mpps'ам разогнать платформу x86 при обработке TCP SYN Flood с 64-байтными пакетиками ну никак не удается - упираемся в ограничение платформы.

 

И вывод из этих экспериментов только один - реализовывать промышленные решения для защиты от DDoS-атак только на предназначенных для этих задачах платформах - на топовых сетевых процессорах типа XLP832 или CN6880, или же для маньяков/военных - на топовых FPGA с максимальным прокачиванием производительности.

 

Если железки лень разрабатывать - можно взять готовые масштабируемые платформы в ATCA-конструктиве - ccpu.com , emersonnetworkpower.com , ge-ip.com , radisys.com и пр.

 

Для более легких решений можно взять готовые платформы под аплайнсы вроде AdvanTech NCP-5120.

 

Но опять же - взять платформы со специально предназначенными для сетевой обработки чипами.

 

Ну ведь никто вменяемый не делает тяжелые маршрутизаторы уровня MX-960 на писюках!

Изменено 16 сентября, 2010 пользователем Dimitry_Repan

[Прохожий]

Да, делать надо на узко заточенных процессорах. Вопрос: зачем это надо и кому, потягаться с Арбором?

[Nag]

Сервисы просто выгонее. ;-)

Атаки - штука нечастая, и одновременные крупные атаки - скорее исключение.

Значит клиентов вожно "мултиплексировать"....

[Dimitry_Repan]

потягаться с Арбором?

Вы серьезно считаете Arbor Peakflow SP эталонным решением ?!

 

С 3.1 Mpps при SYN-фладе на 10GbE-порте для "хардварного" Arbor TMS-3100 ?!

 

Да тот же DefensePro 8412 (тоже "хардварный", только вместо двух Netlogic/RMI XLR732 стоит EZChip NP-3) с GPL в два раза ниже TMS-3100 на 10GbE-порте честно держит SYN-флад в 10Mpps!

 

Но и DP-8412 я тоже не доволен - есть минусы.

 

 

[Прохожий]

Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово.

 

Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится.

[vIv]

Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово.

 

Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится.

Спрос надо просто уметь формировать. Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.

[Dimitry_Repan]

Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек...

Да зачем МНЕ представлять?!

 

Я фактически и есть Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек :)

 

Плюс к этом есть собственная компания-разработчик из более 200 сотрудников.

 

И мы не только разработкой Интернет-Банкинга последние 11 лет занимаемся.

 

Мы ведем ресеч в технологических плоскостях.

 

Есть, например, у нас лицензии ФСБ на разработку СКЗИ (такие же как у Крипто-Про), есть разработчики СКЗИ с профильным образованием 4-го факультета, ведем работы по сертификации наших решений в 8-м Центре ФСБ (бывшее ФАПСИ).

 

Например, БИФИТ первая в России компания, в рамках пилота разработавшая для IBM Z9/Z10 под z/OS криптобиблиотеку с российскими ГОСТами.

 

Кстати, Вы много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10?

 

А когда в IBM'овском Центре тестировались на мейнфреймах вопросы были: "Кто Ваш заказчик в России на столь специфичное приложение для мейнфрейма - ЦБ или РЖД?"

 

Или вот есть у нас "карточное" направление - разработка КОС (карточная операционная система) и СКЗИ (средство криптографической защиты информации) для защищенных карточных чипов.

 

Сейчас завершаем тестирование КОС и встроенного в него СКЗИ для двух платформ ST23 STMicroelectronics и P5 NXP. С третьей платформой - от Samsung'а - не сложилось...

 

Сделали также отдельные решение, включая СКЗИ с российскими ГОСТами, для 32-битных ядер - старого ARM7TDMI (раньше) и нового ARM Cortex-M3 (недавно).

 

Да много чего делаем в рамках исследований.

 

Но ресурсы, в том числе финансовые, стараемся тратить разумно, аккуратно.

 

Например, то же направление защиты от DDoS-атак. Больше года работаем. Много уже вложено. Организован Центр очистки трафика и чистим на халяву трафик нашим банкам для системы "iBank2" (финансирую из фонда развития и техподдержки). В рамках этой же площадки проводятся опытная эксплуатация потенциальными заказчиками решений Radware DefensePro и Arbor Peakflow SP. Постоянно наращивается компетенция в боевых условиях, а не только на лабораторных стендах.

 

Планирую и дальше развивать это направление. И в первую очередь ПРОДАЖИ.

 

Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка).

 

Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства.

 

Поэтому сейчас и ближайший год точно никаких промышленных разработок в направлении DDoS-решений начинать не буду. Только продажи, ресёч и наращивание компетенции.

 

Сейчас главное - научиться продавать сделанное другими. А уже потом можно подумывать о разработке своего продукта, если рынок продемонстрирует спрос.

 

Вот такая реальность...

Изменено 17 сентября, 2010 пользователем Dimitry_Repan

[Dimitry_Repan]

Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.

Неправильно это, нечестно...

 

Изменено 17 сентября, 2010 пользователем Dimitry_Repan

[s.lobanov]

много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10?

А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных? ( http://www-03.ibm.com/systems/ru/z/z9bc/ последний абзац :) )

Изменено 17 сентября, 2010 пользователем s.lobanov

[Dimitry_Repan]

А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных?

Для нативных приложений - да.

 

При разработке криптопримитивов необходимо максимально эффективно использовать возможности архитектуры процессора и при этом аккуратно обходить острые углы (недостатки, особенности) этой же архитектуры.

 

Особенно это актуально для эллиптических кривых.

 

Когда портировали iCrypto под z/OS и z/Linux - ребята много повозились. Но по большей части в оптимизации производительности под архитектурные особенности Z9 дабы выжать по-максимуму.

 

[s.lobanov]

Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так?

Изменено 17 сентября, 2010 пользователем s.lobanov

[vIv]

Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.

Неправильно это, нечестно...

Ой, да ладно Вам, Дмитрий!

Зато дёшево, надёжно и практично!

[Прохожий]

Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка).

 

Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства.

Ну так вот я именно об этом. А Вы все и так прекрасно знаете :)

[bifit]

Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так?

Никакая не опечатка.

 

Есть 31-битная z/OS для совместимости со старыми приложениями и есть 64-битная z/OS.

 

z/Linux только 64-битный.

 

Кстати, процессоры в z/Systems - свои собственные, а не POWER, как некоторые думают.

 

[Гость Алекс]

Идея, как всегда, отличная. Реализация, как всегда - так себе.

[duke]

Не совсем ясно причем тут железки...

Вобше писалось же о сервисе.. как ясно из рисунков много компанетном и децентрализовоном...

А с железкой все сходиться к одному устройству... которое надо резервирывать и тд.

Изменено 21 сентября, 2010 пользователем duke

[Ivan_83]

Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков!

Касперы из мира х86, как и большинство.

Им проще купить больше в любом ларьке по дешману и ле

 

 

Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB.

Ядра друг другу не мешаются?

В смысле не пробовали выжимать больше на 1-2 ядрах?