Jump to content

О решениях Ddos

yunusemre09
 Share

Recommended Posts

yunusemre09

yunusemre09

Posted
Posted

Здравствуйте, друзья,
Можете ли вы порекомендовать Opensource и платные продукты наилучшего качества для фильтрации трафика Ddos L3 и L4 уровня для сервис-провайдеров и дата-центров?

 

спасибо.

jffulcrum

jffulcrum

Posted
Posted

Смотрите дискуссию в 

 с тех пор все стало только хуже. Вам потребуется целая стойка серверов и, самое главное, специалисты, способные их "научить" вырезать конкретно трафик DDOS. При этом у вас должен быть канал с таким запасом, чтобы специалистам хватило времени на разбор и выработку мер.

TheUser

TheUser

Posted
Posted
1 час назад, yunusemre09 сказал:

Opensource и платные продукты наилучшего качества для фильтрации трафика Ddos L3 и L4

Дешевле встать за сервисом, который уже развернул у себя эшелонированную защиту.

Например, https://team-host.ru/

Покупать и разворачивать своё - нереально дорого для "для сервис-провайдеров и дата-центров", и в плане железа, и в плане софта и лицензий, и канало связи под входящий трафик.

Savchenko

Savchenko

Posted
Posted
В 20.01.2025 в 14:05, TheUser сказал:

Дешевле встать за сервисом, который уже развернул у себя эшелонированную защиту.

Например, https://team-host.ru/

Покупать и разворачивать своё - нереально дорого для "для сервис-провайдеров и дата-центров", и в плане железа, и в плане софта и лицензий, и канало связи под входящий трафик.

+1

Сейчас всего на рынке на мой взгляд три бюджетных игрока:

1) StormWall 
2) DDoS-Guard
3) Team-Host

почти у всех вход порядка 80-90т за гиг до 200т (зависит что вам нужно)

 

У каждого есть свои минусы и плюсы, но огромный минус есть только у DDG, они не работают с UDP.

 

Самое главное не стоит ходить к операторам связи (особенно к РТ, если конечно не хотите просрать клиентов)

Все операторы налепили своих защит, но в 99% случаяв это гадость, но они предлагают сладкие цены по 50 тысяч за Гбит/c. 

TheUser

TheUser

Posted
Posted
24 минуты назад, Savchenko сказал:

У каждого есть свои минусы и плюсы, но огромный минус есть только у

У всех у них огромный минус - они не умеют работать с операторским трафиком. Убрать мусор в сторону сервера/хостера много ума не надо. А фильтровать пользовательское говно, особенно видя только часть трафика - увы.

Savchenko

Savchenko

Posted
Posted
14 минут назад, TheUser сказал:

У всех у них огромный минус - они не умеют работать с операторским трафиком. Убрать мусор в сторону сервера/хостера много ума не надо. А фильтровать пользовательское говно, особенно видя только часть трафика - увы.

Симметрия и точка) У оператор все ровно входа больше чем исхода. Хотя на мой взгляд атаки на операторов маленькие в целом и оператор мог бы и сам отбивать (исключение прям очень маленькие)

Savchenko

Savchenko

Posted
Posted
2 часа назад, RialCom.ru сказал:

ну лупят по вам несколько сот гиг или терр - куда это фильтровать то и где такие полосы с запасом?

Защита от DDoS это трудный вопрос, который требует трудных и сложных решений. 

 

Зависит что льют, куда льют. Да и терр не зальют в простого оператора связи 🙂

RialCom.ru

RialCom.ru

Posted
Posted

на ну порядок шире Ваших аплинков для начала и далее на 2 порядка влупить потому оператору очень да же смогут

Saab95

Saab95

Posted
Posted

Поэтому надо отказаться от BGP и брать арендованные IP адреса у других операторов, они защитой от ддос и будут заниматься.

 

В 20.01.2025 в 13:02, yunusemre09 сказал:

Можете ли вы порекомендовать Opensource и платные продукты наилучшего качества для фильтрации трафика Ddos L3 и L4 уровня для сервис-провайдеров и дата-центров?

 

Поставьте ТСПУ.

Saab95

Saab95

Posted
Posted

Нет, берем IP адреса у операторов большой тройки, дополнительно у них есть защита от DDOS, есть бесплатная (входящая в стоимость аренды канала), а есть продвинутая.

 

То есть увидели что какой-то мусор льется без установления соединений в обратную сторону, это или само отбивается автоматически, а можно отдельно IP адреса, порты, протоколы и т.п. указать, какие блокировать.

 

Да, бывает что ложные срабатывания на неком трафике, но это совсем не часто и решается, если посмотреть статистику по событиям.

TheUser

TheUser

Posted
Posted
11 часов назад, Saab95 сказал:

То есть увидели что какой-то мусор льется без установления соединений в обратную сторону, это или само отбивается автоматически, а можно отдельно IP адреса, порты, протоколы и т.п. указать, какие блокировать.

А какие настройки делать на mikrotik?

Saab95

Saab95

Posted
Posted
8 часов назад, TheUser сказал:

А какие настройки делать на mikrotik?

На микротик делать только стандартные - блокировка доступа с внешних IP интернета, доступ только с серых внутренних и все.

 

6 часов назад, jffulcrum сказал:

"Зачем ви тгавите?"

Я лишь написал о том, что у крупных операторов уже есть все необходимое для защиты, в том числе и скоростные каналы.

Saab95

Saab95

Posted
Posted
16 минут назад, Умник сказал:

WEB-интерфейс?

Веб интерфейс в ЛК абонента. Скрины приводить не буду, т.к. знающие люди сразу поймут что за система.

  • 1 month later...
Savchenko

Savchenko

Posted
Posted
В 20.01.2025 в 13:25, jffulcrum сказал:

Смотрите дискуссию в 

 с тех пор все стало только хуже. Вам потребуется целая стойка серверов и, самое главное, специалисты, способные их "научить" вырезать конкретно трафик DDOS. При этом у вас должен быть канал с таким запасом, чтобы специалистам хватило времени на разбор и выработку мер.

Вообще это лож (или не точности), давно есть бордеры в 1U (4x400GbE + 32x100GbE), на нем будет применяться flowspec, с 1U легко выжать 400Gbps/200Mpps при помощи DPDK & ebpf (xdp)

 

c пары юнитов можно получить 1Tbps 🙂 зависит ещё от атаки (90% атак срезается на flowspec)

TheUser

TheUser

Posted
Posted
10 часов назад, Savchenko сказал:

c пары юнитов можно получить 1Tbps 🙂 зависит ещё от атаки (90% атак срезается на flowspec)

К сожалению, участились атаки, которые кроме как на L7 не зафильтруешь.

 

 

10 часов назад, Savchenko сказал:

давно есть бордеры в 1U (4x400GbE + 32x100GbE), на нем будет применяться flowspec

Какое количество правил потянет сей продукт? Ссылочку можно, в том числе на результаты измеренной производительности?

Savchenko

Savchenko

Posted
Posted (edited)
В 01.03.2025 в 16:12, TheUser сказал:

К сожалению, участились атаки, которые кроме как на L7 не зафильтруешь.

 

 

Какое количество правил потянет сей продукт? Ссылочку можно, в том числе на результаты измеренной производительности?

Если речь про бордер (4x400GbE + 32x100GbE) то это NEW Arista DCS-7280CR3-32P4

Тот же митигатор на DPDK выйдет подобные значения с коробки.

 

об Митигаторе:

 

Цитата

1U сервер с двумя AMD EPYC 9684X и четырьмя картами ConnectX-6 позволяет получить честные 400Gbps при 595Mpps (то есть четный linerate).
На простых контрмерах такая конфигурация выдает до 800Gbps и 840 Mpps (практический предел карт CX-6).

 

Но опять же, все зависит какая атака (я думаю вы понимаете 200mpps сун флуда на который нужно ответить сун аком это одно, а срезать ампу на flowspec это другое)

Edited by Savchenko
jffulcrum

jffulcrum

Posted
Posted
11 часов назад, Savchenko сказал:

давно есть бордеры в 1U (4x400GbE + 32x100GbE),

И сколько там процессорной мощи в 1U запихнется, с учетом, что 400GB контроллер в лимит питания слота PCIE не укладывается? Хватит на терабит? Да хотя бы на 200 Гбит/с хватит разбирать? А, так это у нас датаплейн наверное, а с бочка еще собственно контроллер, в котором классификатор. И на терабит, видимо, не один... И еще сбоку C2, с UI/API. 

 

38 минут назад, TheUser сказал:

К сожалению, участились атаки, которые кроме как на L7 не зафильтруешь.

И такое тоже есть DDoS-атаки в 2024 году. Подробный годовой отчёт | StormWall :

 

Цитата

Эксперты StormWall выявили колоссальный рост мощности DDoS-атак на уровне приложений (L7 по модели OSI). В 2024 году она увеличилась в 2 раза по сравнению с прошлым годом. 

 

Savchenko

Savchenko

Posted
Posted
2 минуты назад, jffulcrum сказал:

И сколько там процессорной мощи в 1U запихнется, с учетом, что 400GB контроллер в лимит питания слота PCIE не укладывается? Хватит на терабит? Да хотя бы на 200 Гбит/с хватит разбирать? А, так это у нас датаплейн наверное, а с бочка еще собственно контроллер, в котором классификатор. И на терабит, видимо, не один... И еще сбоку C2, с UI/API. 

 

И такое тоже есть DDoS-атаки в 2024 году. Подробный годовой отчёт | StormWall :

 

 

если говорить про Л7 атак (веб) там ещё все дешевле в разы 🙂 

дуал эпик зен3 суммарно на 128 ядер, легко сможете обработать 5-10M rps 🙂

jffulcrum

jffulcrum

Posted
Posted

  

3 минуты назад, Savchenko сказал:

1U сервер с двумя AMD EPYC 9684X

TDP одного CPU - 400Ватт. Два таких в 1U. Нет, системы такие есть, просто у них нюансик: сзади трубочки такие. Которые надо к жидкостному охлаждению прицеплять. Которое, однако, тоже коробка в стойке, юнита на 4. Правда, может сразу несколько серверов снабжать. 

Savchenko

Savchenko

Posted
Posted
3 минуты назад, jffulcrum сказал:

  

TDP одного CPU - 400Ватт. Два таких в 1U. Нет, системы такие есть, просто у них нюансик: сзади трубочки такие. Которые надо к жидкостному охлаждению прицеплять. Которое, однако, тоже коробка в стойке, юнита на 4. Правда, может сразу несколько серверов снабжать. 

Да даже есть так, максимум на 1 Tbps нужно юнитов 5-6 🙂

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.