faramund

При каждом подходящем случае использую. Очевидно выступлю в роли капитана, но все предельно просто, если паразитный трафик однозначно описывается любым из параметров или их совокопностью, то flowspec вам в помощь: Type 1 - Destination Prefix Type 2 - Source Prefix Type 3 - IP Protocol Type 4 - Port Type 5 - Destination port Type 6 - Source port Type 7 - ICMP type Type 8 - ICMP code Type 9 - TCP flags Type 10 - Packet length Не флоуспеком единым...1гб - слишком малый запас прочности. с 10-кой для большинства вполне, несмотря на то, что услышу кучу воплей)).

Внимательно прочитайте, что сами написали. Указав на недостатки существующих решений и тем самым, намекая на их отсуствие в вашем, вы допускаете ряд ключевых ошибок: 1. Значит в случае с DNS перенаправлением трафик гоняется неизвестно куда, а в вашем? Вы известно кто? 2. У провадеров statefull оборудование и поэтому у них возникают проблемы с асиметричным трафиком? Все ровным счетом наоборот. Почему?! писал выше. А вот в этой схеме сплошь и рядом statefull (exclude MFI), что неверно by design. Пожал бы руку архитектору за хороший пример не соблюдения BCP. Вообще идея построения MSSP мне импонирует, за это плюсую... прошу меня сюда не впутывать:). я лишь указал на потенциального "монстра". если интересно, как на 76-ой балансить на wirespeed? welcome! но уже в приватной беседе) Если Linco не против, попробую угадать ASN с первой попытки? P.S. Недавно на www.trade.su видел тендер на 90 млн руб...очень перекликается с темой данного поста.

как вариант Netoptics xBalancer http://www.netoptics.com/products/load-balancing/xbalancer-10g-load-balancer там же и ips...

Нифига, тренд правильно описал. "Поперло" слишком громко, просто планомерная долговременная работа. Клиенты скопом не бегут, в основном те, кто столкнулись, либо у кого намечается, либо кто считает риски (это как раз ваша категория клиентов). Чаще всего клиенты бегут после инфоповода, а это в свою очередь и есть маркетинг и пиар. И так у всех кого я знаю.

Arbor TMS, МФИ "Очиститель", Cisco Guard (как модуль, так и эплаенс) работают в режиме off-ramp, никакого statefull. Благо со всем приходиться работать ежедневно, плюс DP покрутили в своё время на реальных атаках.

bifit, не поверишь...комерческих в разы больше госов...из последних, 3/4-ых пришли после успешно отраженной атаки, а не в результате выигранного конкурса.

Лукавите...Если вы раскидываете клиентов по устройствам, то максимальная магнитуда отраженной атаки == производительности устройства на которое заведен клиент. В какой последовательности выстроена цепочка очистки? В той последовательности, что вы описали, схема оберечена. "Доочистка периметром" - о чем речь? Об МФИ-Софт "Периметр" или ACL/BGP Flow Spec на бордерах? Откуда такие предубеждения? Который раз слышу о несуществующих проблемах со statefull. Надо разбивать задачу борьбы с DDoS на две составляющие: обнаружение и отражение. Для обнаружения netflow вполне достаточно. Для всех атак, кроме Low Rate, будет отклонение от профиля по pps или bps. Обнаружить Low Rate перечисленное вами оборудование тоже не поможет. Для этого есть иные механизмы. ИМХО, аналитические функции больше важны на этапе отражения.

На базе какого вендора построено решение, если не секрет? Промышленных решений операторского класса по защите от ддос, да еще работающих на L2 по пальцам пересчитать можно, а в таком варианте как предлагаете вы, на ум приходит только Radware DP. Если так, то не совсем понятно, как операторы купившие услугу будут её перепродавать своим клиентам, т.к. есть лимиты на серверные и сетевые политики.

Да, только что саппорт GT отписался о DDoS.

началось :( Проблемы с cat26 у GT.

Здравствуйте уважаемые! Есть вопрос касаемый настройки bgp на cisco. У нашей компании две AS (не спрашивайте зачем). есть блок адресов 1.1.0.0/21. Настроенно следующим образом: 1) Граничные маршрутизаторы на которых крутятся AS1 и AS2 подключены друг к другу на прямую. 2) AS1 принадлежит сеть 1.1.0.0/22. Мы её анонсируем для AS2 и провайдеру ISP 1, а также анонсируем сети принадлежащие AS2 для провайдера ISP1 ++++++++++++++++++++++++++++++++++++++++++++++++++ router bgp 1 no synchronization bgp log-neighbor-changes network 1.1.0.0 mask 255.255.252.0 neighbor 3.3.3.1 remote-as AS-ISP1 neighbor 3.3.3.1 soft-reconfiguration inbound neighbor 3.3.3.1 prefix-list PREF_BGP in neighbor 3.3.3.1 route-map AddAS out neighbor 1.1.4.1 remote-as AS2 neighbor 1.1.4.1 soft-reconfiguration inbound neighbor 1.1.4.1 prefix-list PREF_BGP in neighbor 1.1.4.1 route-map DEF_ROUTE in ip prefix-list PREF_BGP seq 5 permit 0.0.0.0/0 ip prefix-list PREF_BGP seq 10 permit 1.1.4.0/22 access-list 11 permit 0.0.0.0 access-list 12 permit 3.3.3.1 access-list 13 permit 1.1.4.0 0.0.3.255 access-list 14 permit 1.1.4.1 access-list 15 permit 1.1.0.0 0.0.3.255 route-map DEF_ROUTE permit 10 match ip address 14 set metric 150 route-map DEF_ROUTE permit 20 match ip address 13 route-map DEF_ROUTE permit 30 match ip address 11 set as-path prepend AS2 route-map AddAS permit 10 match ip address 13 set as-path prepend AS1 AS1 AS1 route-map AddAS permit 20 match ip address 15 +++++++++++++++++++++++++++++++++++++++++++++ 3) AS2 принадлежит сеть 1.1.4.0/22. Мы её анонсируем для AS1 и впровайдеру ISP 2, а также анонсируем сети принадлежащие AS1 для провайдера ISP2 +++++++++++++++++++++++++++++++++++++++++++++ router bgp 2 no synchronization bgp log-neighbor-changes network 1.1.4.0 mask 255.255.252.0 neighbor 4.4.0.1 remote-as AS-ISP2 neighbor 4.4.0.1 soft-reconfiguration inbound neighbor 4.4.0.1 prefix-list PREF_BGP in neighbor 4.4.0.1 route-map AddAS out neighbor 1.1.4.2 remote-as AS1 neighbor 1.1.4.2 soft-reconfiguration inbound neighbor 1.1.4.2 prefix-list PREF_BGP in neighbor 1.1.4.2 route-map DEF_ROUTE in no auto-summary ip prefix-list PREF_BGP seq 5 permit 0.0.0.0/0 ip prefix-list PREF_BGP seq 10 permit 1.1.0.0/22 access-list 11 permit 0.0.0.0 access-list 12 permit 4.4.0.1 access-list 13 permit 1.1.0.0 0.0.3.255 access-list 14 permit 1.1.4.2 access-list 78 permit 1.1.4.0 0.0.3.255 route-map DEF_ROUTE permit 10 match ip address 11 14 set metric 150 route-map DEF_ROUTE permit 20 match ip address 13 15 route-map AddAS permit 10 match ip address 13 set as-path prepend AS2 AS2 AS2 route-map AddAS permit 20 match ip address 78 ++++++++++++++++++++++++++++++++++++++++++++++ 4)Оба провайдера пропускают через себя всю нашу сеть 1.1.0.0/21 Вопрос заключается в следующем: если я гашу интерфейс на AS2 который смотрит в сторону ISP 2, то AS2 получает маршрут по умолчанию от ISP1 и начинает ходить через него, но сеть 1.1.4.0/21, которая принадлежит AS2 не доступна из вне (то есть внешние мир не знает об этой сети). ЧТО ОЧЕНЬ ИНТЕРЕСНО, не доступна только до тех пор пока на маршрутизаторе AS1 не дашь команду clear ip bgp ISP1 soft . Я ожидал более 5 минут, на всякий случай, думал что может время сходимости очень большое, но безрезультатно. Может я привел в этом посте много лишней информации и кому-то для ответа на мой вопрос не нужны были конфиги, но я посчитал нужным разместить всю информацию, чтобы не было лишних вопросов.