[Nag]

Не смешите, пожалуйста, про контролируемость... http://stopddos.ru/current/

Только на прошлой неделе там видел всего 53 (!) IP.

Что это было?

[kostich]

Не смешите, пожалуйста, про контролируемость... http://stopddos.ru/current/

Только на прошлой неделе там видел всего 53 (!) IP.

Что это было?

prizivnik.ru мочат...

 

 

Изменено 3 апреля, 2008 пользователем kostich

[Прохожий]

Поучительно то, что досы как правило приходят не с IX'ов, а с транзитных операторов.

Еще пара комментов к данному тезису. Типичный источник атаки, AFAIK, зомби-хост той или иной этимологии. По другому действительно тяжелую атаку не создать.

 

Таким образом, теоретическая плотность атаки есть функция от:

1. Числа хостов

2. Суммарной доступной пропускной способности на апстримах хостов

 

Число хостов есть сложная функция от числа хостов вообще и доли зомбированных

 

Суммарная пропускная способность апстрима есть результат технологических традиций и уровня развития Интернет как такового. Важным фактором является "фактор аплинка", т.е. совокупность хостов оператора не может генерировать более емкости его аплинка. Данный фактор особенно значим при низком уровне развития Интернет в регионе.

 

Так же есть еще фактор "узких мест" на магистралях, правда, что-то про глобальную деградацию сервиса на бэкбонах давно не пишут - наверное, этот фактор более не играет. Во всяком случае пока.

 

Процент зомбирования... Вероятнее всего зависит от сложившейся практики применения антивирусных средств.

 

Ну и последнее - наличие средств подавления вредоносного трафика на сетях операторов. Корректирующий фактор.

 

Я попробую, исходя из вышесказанного, предугадать ответ Виктора. Скорее всего из Рунета прет сравнительно мало, а из регионального рунета - и вовсе копейки. Потому что построив цепочку факторов, можно понять, что Россия - не слишком пока плодородна как источник DDoS. Факторы проникновения, скорости, аплинка против DDoS. Не готов комментировать уровень проникновения антивирусов в России в сравнении с другими странами, не знаю. На уровне ощущений - должен быть несколько выше. По причине положения болта на авторские права.

 

Виктор,

Вообще насколько сильна на данный момент атака именно из российского сегмента ? :)

Как там на самом деле-то? Угадал?

 

Прохожий, а не следует ли из того что основная масса пакетов ДОС атаки следует через Tier1 операторов, сервисы ориентированные на именно российских потребителей, могут в этот момент фильтровать весь _не_ рунет, и ручками узлы в рунете. Ну и пытаться выжить. (Ессно на стороне оператора)

Ну, наверное оно будет вполне работать :)

 

P.S. Вот, Арбор утверждает, что 3% трафика - это DDoS http://www.cnews.ru/news/line/index.shtml?2008/04/03/295348

 

 

Кстати, Виктор, у Вас же Арбор должен по идее в основном на исходящем трудиться, разве нет? С такой-то базой Вы же и есть перспективнейший генератор DDoS трафика :)))))) Не смотря на сравнительно низкие скорости апстримов :)

[kostich]

Позвольте вмешаться.

 

Я попробую, исходя из вышесказанного, предугадать ответ Виктора. Скорее всего из Рунета прет сравнительно мало, а из регионального рунета - и вовсе копейки. Потому что построив цепочку факторов, можно понять, что Россия - не слишком пока плодородна как источник DDoS. Факторы проникновения, скорости, аплинка против DDoS. Не готов комментировать уровень проникновения антивирусов в России в сравнении с другими странами, не знаю. На уровне ощущений - должен быть несколько выше. По причине положения болта на авторские права.

Немного не тот подход, т.к. мы считаем мегабиты и при этом забываем про pps-ы и rps-ы... для большинства веб-серверов 5krps есть мгновенная смерть, а на мртг-шных графиках этого вообще не видно. Посчитайте сколько спам-ботов живёт в РФ. Все теоретически могут превратиться и в ддос-ботов. Проблема рунета IMHO в оверселе. Многим регионалам до провала в транспорте хватает подлить 1-2 мегабита на выход т.к. днем десятошная дырка забита почти на 80%. Получается, что в те часы, когда дырка свободна и эта пара мегабит может достигнуть цели, возможности, технической, просто нет... а ночью большая часть рашин-зомби спит. Тоже самое и с крупнячком случается, но там запаса по выдуву побольше.

 

Возьмем типичный флудящий ботнет на 10-16к зараженных в РФ компов. У СТРИМа, на канальной атаке, получается исходящий потенциал до гигабита, если на порты по 768 пересчитать. Заражение так накладывается, что нельзя вот так, что бы заражались только абоненты СТРИМ. Если у СТРИМ больше 1 тыс абонентов лупит, то это значит, что и из Корбины примерно столько будет, но лупить будет в разы сильнее, т.к. порты в разы шире. 1000 флудящих абонентов для инфраструктуры Корбины и окружающего мира наносят в разы больше вреда. Ну и еще пяток ASок есть, которые реально выдувают + их клиенты там, но это уже так, пустячки. Если бы не ОПГ и это всё выливалось бы через толстые "халявные" дырки на msk-ix, то можно было бы смело говорить про цифру большую чем 20 гигабит... а так получается 5-6 потолок из-за провалов на транспорте оверселеров... и это для РУнета хорошо на самом деле, т.к. если представить что трафик от этих портов будет доходить до цели, то без интернета будем оставаться.

 

И получаем в итоге, что цифры Арбор-а похожи на правду, т.к. 3% от 40 гиг как раз в этом р-не. Но это только в контексте канальных атак, что для всяких HTTP и синфлудов совсем по другому расчитывается. "Бизнесмены" какие-то деньги тоже в ботнеты вкладывают и на толстых атаках это привлекает внимание общественности больше, чем если эта тысяча абонентов подпердывает HTTP флудом.

Изменено 3 апреля, 2008 пользователем kostich

[Прохожий]

Немного не тот подход, т.к. мы считаем мегабиты и при этом забываем про pps-ы и rps-ы... для большинства веб-серверов 5krps есть мгновенная смерть, а на мртг-шных графиках этого вообще не видно.

Есс-но так и есть. Это две принципиально разные характеристики потока, слабо связанные между собою. И поражающее действие разное. И цели разные.

 

Вот, к примеру, если атака идет на конкретный сервис - здесь будут важны pps и rps. Но фишка как раз в том, что это сравнительно легко отфильтровывается, решения большей частью есть.

 

Меня же более интересует потенциальный 4DoS с близким к нормальному профилем трафика. То есть именно то, что позволит просто дисконнектить целые АС к чертовой матери. Почему именно этот случай? Да просто потому, что он как раз экстремально тяжел для излечения. Вот просто раз, и трафик подскочил раз этак в К. Не, К мало, в N раз. Чего делаем?

 

Посчитайте сколько спам-ботов живёт в РФ. Все теоретически могут превратиться и в ддос-ботов.

Подсчитал бы, да как? Может, подкинете методику?

 

Проблема рунета IMHO в оверселе.

С точки зрения DDoS это не столько проблема, сколько фактор, сдерживающий рост возможной мощности.

 

Возьмем типичный флудящий ботнет на 10-16к зараженных в РФ компов.

Откель такие дровишки? ;)

 

Если у СТРИМ больше 1 тыс абонентов лупит, то это значит, что и из Корбины примерно столько будет, но лупить будет в разы сильнее, т.к. порты в разы шире. 1000 флудящих абонентов для инфраструктуры Корбины и окружающего мира наносят в разы больше вреда.

Ну, это-то очевидно :) Все ассиметричные технологии снижают "кормовую базу" DDoS. Вывод (опять :( )- резать апстримы, фильтровать исходняк говнодавилками. "Карфаген должен быть разрушен!" (с)

[kostich]

Вот, к примеру, если атака идет на конкретный сервис - здесь будут важны pps и rps. Но фишка как раз в том, что это сравнительно легко отфильтровывается, решения большей частью есть.

только теория слегка с практикой не стыкуется... а про pps-ы так вообще молчу... гигабитная дырка больше полутора лямов принять не может, а вливают обычно 2-2,5... при дефолтнных настройках tcp стека большинства юниксов для полного дауна достаточно 50-70kpps-ов... на некоторых атаках побольше может, но на синфлуде вот так... md5 в синкуке это самая прикольная поделка.

 

Меня же более интересует потенциальный 4DoS с близким к нормальному профилем трафика. То есть именно то, что позволит просто дисконнектить целые АС к чертовой матери. Почему именно этот случай? Да просто потому, что он как раз экстремально тяжел для излечения. Вот просто раз, и трафик подскочил раз этак в К. Не, К мало, в N раз. Чего делаем?

для tcp решение есть и для udp after tcp тоже... это не фул стейт контроль, но тем не менее оно работает и простота алгоритма позволяет достигать серьезных pps-ов... но это не магистральные решения... применимо это только в отношении конкретных таргетов с производительностью до 2-3mpps на юнит...

 

Возьмем типичный флудящий ботнет на 10-16к зараженных в РФ компов.

Откель такие дровишки? ;)

линк могу повторить -> http://stopddos.ru/current/

 

Вывод (опять :( )- резать апстримы, фильтровать исходняк говнодавилками. "Карфаген должен быть разрушен!" (с)

выход тут только один - детектирование аномалий на уровне netflow и заворачиваение клиентосов на снифающие ids для уточнения подробностей... это позволит решить проблему без нульраута цели, так же как и заворачивание dst предполагаемой цели на ids или чистилку какую-то с верификацией или стейтконтролем... а без снифа дело тухло.

Изменено 4 апреля, 2008 пользователем kostich

[Прохожий]

ids или чистилку какую-то с верификацией или стейтконтролем

Как раз вот эти чистилки сейчас динамично развиваются, а скоро и подешеветь должны. Так что полагаю, что очень скоро для каждого приличного провайдера "говнодав" на исходняке станет просто must be, только тогда и так может данная проблема быть решена в стратегической перспективе.

 

Вон, один из знакомых вирусный исходняк давит на ISG, причем процент довольно большой в пике получается. респект и уважуха. Свой небольшой вклад человек вносит.

 

А остальное, похоже, все же паллиативы.

[cmhungry]

У меня приходится вирусный говнодав держать на выходе обязательно. Домушники, 25 тыщ клиентов. Эффективность очень приличная

вот желтенькое до говнодава:

после - по синей черте

 

иначе убьют внешние каналы по исходящему трафику и наты заодно

 

Вот это вот превышение желтого над синим - всего лишь 15-20 вирусоводов из 20 тыщ юзеров всего:

Изменено 4 апреля, 2008 пользователем cmhungry

[kostich]

ids или чистилку какую-то с верификацией или стейтконтролем

Как раз вот эти чистилки сейчас динамично развиваются, а скоро и подешеветь должны. Так что полагаю, что очень скоро для каждого приличного провайдера "говнодав" на исходняке станет просто must be, только тогда и так может данная проблема быть решена в стратегической перспективе.

Этого никогда не будет. Каналы опережают вычислительные мощности на несколько лет и при скачке до 100 гиг будет жопа. Сейчас одного юнита еле хватает для сниферной обработки/фильтрации гигабита на небольшое количество таргетов - железка под 500kpps встанет в 2,5k$ max. Надо заметить, что и L2 кэш CPU тоже в размерах растет... шина чуток подросла. Для появления хардварной версии гавнодавилки изначально должна появится софтварная, прототип, который бы простоял на рынке 2-3 года и вкладывание денег в материнку с нужным набором девайсов имело бы смысл. А на рынке сейчас нихрена нет, давайте смотреть правде в глаза. Решения на каунтерах я просто не рассматриваю как какую-то защиту т.к. срезает валидных юзеров больше чем ботов. И к таким ддос-защитам нужен круглосуточный ддос-защитнег... автматики совсем нет или мало. За исключением конечно нашего, которое в эксплуатации тестовой и только под HTTP, а до боксовой версии еще год минимум. Любой юзер хочет драфт, а драфт для подобных решений подобен смерти. Если Cisco опишет как работает их Guard, то под них ддос-бота напишут.

 

Вон, один из знакомых вирусный исходняк давит на ISG, причем процент довольно большой в пике получается. респект и уважуха. Свой небольшой вклад человек вносит.

А остальное, похоже, все же паллиативы.

мы бы тоже давили, если бы было где... можем только входняк принимать на груть и чистить.

 

Вот это вот превышение желтого над синим - всего лишь 15-20 вирусоводов из 20 тыщ юзеров всего:

15-20 активно флудящих? или что они там делают?

Изменено 4 апреля, 2008 пользователем kostich

[Прохожий]

Этого никогда не будет. Каналы опережают вычислительные мощности на несколько лет и при скачке до 100 гиг будет жопа.

Да ну? А зачем на 100 гиг? Сотки собираются на крупных бэкбонах - а там давить уже ПОЗДНО, проще пропихнуть :) На выходе с сетей доступа надо давить. И чем ближе к источнику - тем лучше. А задача вдумчиво распотрошить гиг - на современном уровне сильно сложной не является. Более того, сейчас уже NP производительностью меньше 2.5G отходят, десятки идут. Правда, NP, конечно, не совсем платформа для говнодава, но как знать, как знать... Тут же все от софта зависит.

 

Для появления хардварной версии гавнодавилки изначально должна появится софтварная, прототип, который бы простоял на рынке 2-3 года и вкладывание денег в материнку с нужным набором девайсов имело бы смысл.

Кхм. Дело обстоит мягко говоря не совсем так. Долго очень объяснять, но Вы сейчас жизнерадостно сравнили круглое с жидким.

 

А на рынке сейчас нихрена нет, давайте смотреть правде в глаза. За исключением конечно нашего, которое в эксплуатации тестовой, но мы не считаем что оно еще к боксовой версии готово.

"У меня нет мании величия - Гении ею не страдают!" (с)

 

Вроде как в области DDoS protection уже наработано немало! Только ПОКА все идет по старому плану: кому нужно защищаться - тот и платит бабки. То есть защита идет на выходе из сети, по входящему. Стоит вывернуть это наизнанку, и... Получаем тот самый говнодав. Который давит не атаку на конкретный ресурс, а атаки из какой-то сети.

 

А Вы, на сколько я понимаю, все софтом балуетесь? Ну-ну. На таких скоростях чистый софтвер не работает в принципе. Ну да, зато дешево - платформы общего назначения, "железка под 500kpps встанет в 2,5k$ max". Тоько вот скоро дешево будет не актуально. Не верите - отмотайте nag.ru года на четыре назад и посмотрите: какое железо и за какие деньги обсуждалось тогда, и какое обсуждается сейчас.

 

У меня приходится вирусный говнодав держать на выходе обязательно.

Дружище, это ты, что ли?! Какая-то знакомая картинка ;)

[kostich]

Да ну? А зачем на 100 гиг? Сотки собираются на крупных бэкбонах - а там давить уже ПОЗДНО, проще пропихнуть :) На выходе с сетей доступа надо давить. И чем ближе к источнику - тем лучше. А задача вдумчиво распотрошить гиг - на современном уровне сильно сложной не является. Более того, сейчас уже NP производительностью меньше 2.5G отходят, десятки идут. Правда, NP, конечно, не совсем платформа для говнодава, но как знать, как знать... Тут же все от софта зависит.

Подсмотрел тут ниже... могу процитировать "но Вы сейчас жизнерадостно сравнили круглое с жидким". Вы как-то просто это все себе представляете, вот так вот взять и вдумчиво распотрошить один гиг... и что? от этого есть какая-то практическая польза? Задача сводится к анализу трафика за длительный период времени... а не так что этот пакет плохой, а этот вот хороший... и все это в реалтайме и так что бы не вредить.

 

Кхм. Дело обстоит мягко говоря не совсем так. Долго очень объяснять, но Вы сейчас жизнерадостно сравнили круглое с жидким.

у Вас наверное серьзеный практический опыт... в области дешевой клиентской оконечки?

 

А на рынке сейчас нихрена нет, давайте смотреть правде в глаза. За исключением конечно нашего, которое в эксплуатации тестовой, но мы не считаем что оно еще к боксовой версии готово.

"У меня нет мании величия - Гении ею не страдают!" (с)

у Вас еще и большой практический опыт и в этой области...

 

Вроде как в области DDoS protection уже наработано немало!

только нихрена толком не работает... говорю как человек покупавший... в т.ч. и услуги Prolexic.

 

Только ПОКА все идет по старому плану: кому нужно защищаться - тот и платит бабки. То есть защита идет на выходе из сети, по входящему. Стоит вывернуть это наизнанку, и... Получаем тот самый говнодав. Который давит не атаку на конкретный ресурс, а атаки из какой-то сети.

Арбор вышел под лозунгом "пипец командным центрам ботнетов"... ага - сказали русские и китайские мужики.. и начали юзать локальный резолвер. Вы как-то можете отличить нормальный трафик от гавна в трафике от вашего резолвера? Вы не знаете и не можете знать об этой активности и об этих атаках... ну если только в ваш гавнодав сигнатурку какую не сольют... или полляма сигнатур... а хэши они такие, знаете, либо ресурсы вычислительные жрут, либо реагируют на всё подряд. Вы все еще верите в возможность "вдумчиво разобрать гигабит" ?

 

А Вы, на сколько я понимаю, все софтом балуетесь? Ну-ну. На таких скоростях чистый софтвер не работает в принципе. Ну да, зато дешево - платформы общего назначения, "железка под 500kpps встанет в 2,5k$ max". Тоько вот скоро дешево будет не актуально. Не верите - отмотайте nag.ru года на четыре назад и посмотрите: какое железо и за какие деньги обсуждалось тогда, и какое обсуждается сейчас.

Вы мне, простите, предлагаете почитать очередные соплепускания на не работающие солюшены? Или разочарования от покупки железа за много килобаксов? У Вас, повторюсь, слишком большой практический опыт, вполне очевидно... исходя из него проблема DDOS для Вас есть проблема его источников... они Вам обязаны чем-то?

 

Озаботьтесь проблемой спуфинга что ли.. может полегчает. Для решения проблем со спуфингом у всех всё есть аж с момента появляения первых файрволов - факт. Вы хотите сказать, что проблема спуфинга решена? Вы хотите сказать, что проблема спуфинга решена в РФ? У Вас, повторюсь, слишком большой "практический опыт", вполне очевидно...

 

ps. у нас производительноть софтовых функций по анализу более 120mpps... хотя, если супермодуль в аплаенс поставлю, то все поверят в том что это заслуга этого модуля. надо как в гуардере какую-то фигню воткнуть,. а то еще сопрут решение и потом доказывай...

 

Изменено 4 апреля, 2008 пользователем kostich

[cmhungry]

Вот это вот превышение желтого над синим - всего лишь 15-20 вирусоводов из 20 тыщ юзеров всего:

15-20 активно флудящих? или что они там делают?

Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

 

У меня приходится вирусный говнодав держать на выходе обязательно.

Дружище, это ты, что ли?! Какая-то знакомая картинка ;)

Ну а кто еще...

[kostich]

Вот это вот превышение желтого над синим - всего лишь 15-20 вирусоводов из 20 тыщ юзеров всего:

15-20 активно флудящих? или что они там делают?

Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

[Прохожий]

Костич, во первых, без обид, надо было, видимо мне смайлов наставить, и побольше. Не надо сердиться, я Вам не враг :)

 

Во вторых, я, видимо, недостаточно конкретно выразился. Ваша сентенция об опережающем росте скоростей - несправедлива, ибо на ЭТИХ скоростях давить уже поздно, это бэкбоны, а давить эффективно можно только на краю. Уж до десятки - это точно. Это раз. Спорить по этому конкретному поводу будем?

 

Во вторых, проблема имеет две части: алгоритмическую и ресурсную. Алгоритмическая собственно в том и состоит, чтобы создать критерии. Вы бодро говорите о том, что это сделано Вами лучше других, допустим. Здесь вообще есть место для отдельной длинной дискуссии о самой возможности такового алгоритма, самообучении и прочия-прочия-прочия.

 

Остается часть ресурсная. Как реализовать эти алгоритмы так, чтобы обеспечить а) производительность б) гибкость.

 

Когда - то над этой же задачей медитировали по поводу обработки трафика вообще - файрволов и прочего, заодно переживая, что ASIC коммутации жестко задает логику, а жизнь, блин, *** идет, и технологии развиваются. Намедитировали две вещи NP (в большей степени) и FPGA (ну, у этой штуки масса других причин была, чтобы родиться). В итоге теперь кристалл за 250 бачей, который в железе может обрабатывать персонально 250К потоков на полном гиге в обе стороны - далеко не является чем-то уникальным. Другой пример, вообще не из этой оперы: криптомаршрутизаторы по ГОСТ все делали и делали программными на платформах общего назначения. Получается дорого, медленно, короче, ботва какая-то. А вот недавно видел образец криптомодуля на FPGA - копеечная микросхема на сотнях метров не кашляет. Удельная стоимость на мегабит падает на порядки.

 

Так что я бы сказал, что в основном задача стоит в адаптации алгоритмов к одному из существующих NP или, если совсем никак, к реализации их на FPGA, что будет дольше, конечно, зато можно сделать почти все. На худой конец есть, к примеру, такая штука, как Tensilica Xtensa, на базе которой, кстати, чуть ли не половина NP и построена.

 

Так что хотелось бы отметить, что давно уже мы живем в мире переконфигурируемых платформ. В принципе уже можно делать в железе устройства, которые вообще еще непонятно, чем точно будут :) Посему говорить о том, что надо годами оттачивать алгоритмы в софте, а потом, потом делать что-то с железом... Ну, наверное не совсем правильно, если мы имеем целью создание нормального коммерческого продукта с претензией на уникальность.

 

У Вас, повторюсь, слишком большой практический опыт, вполне очевидно... исходя из него проблема DDOS для Вас есть проблема его источников... они Вам обязаны чем-то?

У меня достаточный аналитический опыт, чтобы понимать, что проблема должна решаться в точке ее возникновения, а не в точке, где она создает нежелательные эффекты. Вы можете сколько угодно давить, глушить заземлять и блекхолить, но до тех пор, пока существует источник - существует проблема. Чем ближе к источнику проблема решается - тем меньше последствий для системы в целом.

 

Даже если Вы научитесь идеально отфильтровывать любую атаку на приеме, что это в итоге Вам даст? Допустим, вы создадите эффективный механизм типа "обратного давления", т.е. возможность с приема распространять \dev\null\ к источнику, допустим, что это даст? Тактическое решение, временное облегчение, да. Плюс сам механизм может оказаться... юзабельным для широкой группы китайских и русских товарищей. И опять же - на системном уровне, чтобы быть эффективным, он должен работать быстро. Скорость и безопасность - антиподы.

 

В сухом остатке вывод: подавление нежелательной активности должно происходить а)автоматически б) максимально близко к источнику

 

Отдельно прошу обратить внимание: я здесь описываю задачи стратегического плана, а не "как мне прямо сейчас отбиться от DDoS?"

 

Для решения проблем со спуфингом у всех всё есть аж с момента появляения первых файрволов - факт. Вы хотите сказать, что проблема спуфинга решена? Вы хотите сказать, что проблема спуфинга решена в РФ?

Задам вопрос по другому: является ли она достаточно значимой, чтобы необходимость ее решения стала очевидной большинству? Если есть все средства решить проблему, а она не решается - это значит только то, что это очередной "неуловимый Джо". Плюс, к сожалению, тот фактор, что мы видим и в других темах: когда эффективно решить проблему может один, а заинтересован в ее решении другой - дело стоит. Но спуфинг не забивает канал тому, кто с ним не борется :) Некоторая разница, не находите?

[Nag]

kostich

Может быть пора написать статью по теме для nag.ru? $-)

[Прохожий]

Может быть пора написать статью по теме для nag.ru? $-)

Кто о чем, а вшивый - о бане ;) Притомился еженедельные обзоры генерировать? :) Понимаю! Вот я никогда ничего к толкового к сроку написать не могу. Один раз подписался: и тема понятная, и все вроде нормально, ан нет! Не выходит каменный цветок! Хорошо хоть аванса не брал :)

 

Костич, соблазняйся писать статью :) Павел человек хороший, и к авторским правам относится без особого трепета (в хорошем смысле!) - потом твой материалец расползется по всей Сети, да по паре бумажных журналов. Если будет того стоить, конечно :)

[kostich]

Костич, во первых, без обид, надо было, видимо мне смайлов наставить, и побольше. Не надо сердиться, я Вам не враг :)

аналогично...

 

Во вторых, я, видимо, недостаточно конкретно выразился. Ваша сентенция об опережающем росте скоростей - несправедлива, ибо на ЭТИХ скоростях давить уже поздно, это бэкбоны, а давить эффективно можно только на краю. Уж до десятки - это точно. Это раз. Спорить по этому конкретному поводу будем?

Да, будем. ICMP/UDMP флуд и всякую подобную дрянь давить нужно там! и давят её именно там... и давить еще проще именно там.

 

Во вторых, проблема имеет две части: алгоритмическую и ресурсную. Алгоритмическая собственно в том и состоит, чтобы создать критерии. Вы бодро говорите о том, что это сделано Вами лучше других, допустим. Здесь вообще есть место для отдельной длинной дискуссии о самой возможности такового алгоритма, самообучении и прочия-прочия-прочия.

Самообучение это эффект визуальный... внутри оно линейно до дури.

 

Остается часть ресурсная. Как реализовать эти алгоритмы так, чтобы обеспечить а) производительность б) гибкость.

если задача не имеет логического конца, то гибкость возможна только в софте... если мы говорим за http балансер, то нам не составляет труда сделать его гиговой емкостью на железке описанной выше стоимостью... когда-то меня забавляло юзать WCCP в 3550той кошке, но циска начиная с 3560той поставила на этом крест... ибо халява, понимаете ли... взяли вот они это и выкинули из ИОСа... теперь юзаем BGP based балансировку и как-то блин приспосабливаемся к привычной халяве.

 

Вы мне кстати выше писали, что писюки на 500kpps не работают... за ваши кровные готовы устроить демо... :) и демо раутинга 1mpps-ного на фре, почти дефолтной. Не вижу в этих цифрах ничего уникального... на фре вообще 1mpps уже демонстрировали еще во времена первых p4-3.2Ghz, все кому не лень причем.

 

Так что я бы сказал, что в основном задача стоит в адаптации алгоритмов к одному из существующих NP или, если совсем никак, к реализации их на FPGA, что будет дольше, конечно, зато можно сделать почти все. На худой конец есть, к примеру, такая штука, как Tensilica Xtensa, на базе которой, кстати, чуть ли не половина NP и построена.

раутинг и анализ это разные задачи... это примерно как потоковое криптование и файловое архивирование.

 

Так что хотелось бы отметить, что давно уже мы живем в мире переконфигурируемых платформ. В принципе уже можно делать в железе устройства, которые вообще еще непонятно, чем точно будут :) Посему говорить о том, что надо годами оттачивать алгоритмы в софте, а потом, потом делать что-то с железом... Ну, наверное не совсем правильно, если мы имеем целью создание нормального коммерческого продукта с претензией на уникальность.

как же все мечтают спам в хардваре фильтровать... и надо заметить у них это получается... только внутри хардваре писюк как всегда.

 

У меня достаточный аналитический опыт, чтобы понимать, что проблема должна решаться в точке ее возникновения, а не в точке, где она создает нежелательные эффекты. Вы можете сколько угодно давить, глушить заземлять и блекхолить, но до тех пор, пока существует источник - существует проблема. Чем ближе к источнику проблема решается - тем меньше последствий для системы в целом.

Если бы у меня был под рукой поток почты уровня яндакса/рамблера или мыл.ру, то я бы не думал о проблеме спама... именно в их массштабах эта задача имеет простое и доступное решение. Вы сталкивались с анализом исходящей почты без обратной связи?

 

Отдельно прошу обратить внимание: я здесь описываю задачи стратегического плана, а не "как мне прямо сейчас отбиться от DDoS?"

надо быть много лет в этой теме что бы однозначно сказать, что проблема вся в источниках заражения... но когда все кинулись это давить, то методика заражения эволюционировала... Вы в курсе как сейчас это происходит? сейчас зная УРЛ сайта с которого заражают при РУЧНОМ И ВДУМЧИВОМ РАЗБОРЕ добиться выдачи сплойта очень сложно... а на той стороне уже знают, что какой-то дурак их ковыряет.

 

Почему наш супер крутой антивирус Касперского не предлагает слать репорт на сайт с вредоносным кодом? В РУнете порядка 7-12 тыс сайтов с инжектами. Если их уберут, то вся эта активность сдохнет как класс... попалит кучу мелких баранов, которые криптуют сплойт или .exe за очередные 5WMZ и остануться только те против кого все эти виндузовые антивири просто бессильны. Попалит кучу хостов, админы которых забивают на абузы... (Инфобоксу отдельный привет). Касперские могут вычистить РУнет за неделю, если не меньше... IMHO... с их ресурсом я бы за день вычистил... и не только РУнет. Если баранам не откуда будет взять инсталлы по 10-15$ за 1 тыс компов, то и бизнес их будет на грани... пускай идут в кардинг - там их и "примут"... хорошо если за пределами страны т.к. 100% шо не откупяцо.

 

Но правда жизни нашей в том, что всем нужны мать их маней... биг маней, мени маней, мени мени маней... и нам нужны... А так вообще всем нравится играть в эту веселую игру - одни нападают, а другие защищают. Одни пишут вирусы, а другие добавляют в базу новую сигнатуру. Все при бабле и всех все устраивает. Радует то, что у защищающей стороны доходы легальные, стабильны и в разы больше... так что справедливость какая-то на этом свете есть. Еще вот пацаны глобальные есть, которые лобируют всю потеху, тихо спускаются с гор и впаривают железки по 300кил, которые для юзеров выглядят как панацея, а для провайдеров как средство анализа трафика и не более... ни о какой реальной борьбе там и речь не идет.

 

если будет решена проблема с мгновенным заражением большого количества компьютеров, то и вопрос так остро стоять не будет... а то получается даванули ботнет на 20-25к, а через два дня опять новый.. но уже на 40 и 70% в .ру Нормуль? Кто-то представляет сколько трафика надо завернуть на сплойты, что бы получить такой ботнет? Говорят от 10 до 50% по РФ пробивает до самого ring0... если на 10% считать, то это 100 тыс уников... в реальнее новерное кил 500 уников пропускают. Кто-то представляет какие массштабы у всей этой потехи? (еще один пламенный привет Инфобоксу).

 

Для решения проблем со спуфингом у всех всё есть аж с момента появляения первых файрволов - факт. Вы хотите сказать, что проблема спуфинга решена? Вы хотите сказать, что проблема спуфинга решена в РФ?

Задам вопрос по другому: является ли она достаточно значимой, чтобы необходимость ее решения стала очевидной большинству? Если есть все средства решить проблему, а она не решается - это значит только то, что это очередной "неуловимый Джо". Плюс, к сожалению, тот фактор, что мы видим и в других темах: когда эффективно решить проблему может один, а заинтересован в ее решении другой - дело стоит. Но спуфинг не забивает канал тому, кто с ним не борется :) Некоторая разница, не находите?

Те кто занимаются спуфом обычно прикрывают атаки кучей валида... и из всей этой кучи проследить из какого пира валит именно спуф возможности нет... как минимум руками.

Изменено 4 апреля, 2008 пользователем kostich

[cmhungry]

15-20 активно флудящих? или что они там делают?

- Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

как правило icmp flood, в тупую. Иногда udp/80 flood. Редко - DNS flood.

[kostich]

15-20 активно флудящих? или что они там делают?

- Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

как правило icmp flood, в тупую. Иногда udp/80 flood. Редко - DNS flood.

А гавнодав HTTP флуд замечать способен?

[kostich]

Намедитировали две вещи NP (в большей степени) и FPGA (ну, у этой штуки масса других причин была, чтобы родиться). В итоге теперь кристалл за 250 бачей, который в железе может обрабатывать персонально 250К потоков на полном гиге в обе стороны - далеко не является чем-то уникальным.

для всяких фулпакетрейт дел нужна память с производительностью большей интерфейса... в писюке есть кэш CPU, а в FPGA такого жира не скоро еще придвидится.

[cmhungry]

15-20 активно флудящих? или что они там делают?

- Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

как правило icmp flood, в тупую. Иногда udp/80 flood. Редко - DNS flood.

А гавнодав HTTP флуд замечать способен?

Можно задать максимальное количество сессий на хомяка и максимальную скорость открытия новых сессий на хомяка. Но по L4, правда.

[kostich]

15-20 активно флудящих? или что они там делают?

- Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

как правило icmp flood, в тупую. Иногда udp/80 flood. Редко - DNS flood.

А гавнодав HTTP флуд замечать способен?

Можно задать максимальное количество сессий на хомяка и максимальную скорость открытия новых сессий на хомяка. Но по L4, правда.

но это же не флуд... у юзеров же иногда и здравое желание возникает :)))

[cmhungry]

15-20 активно флудящих? или что они там делают?

- Угу, 15-20 флудерастов и 20 тыщ нормальных юзеров.

HTTP или еще что?

как правило icmp flood, в тупую. Иногда udp/80 flood. Редко - DNS flood.

А гавнодав HTTP флуд замечать способен?

Можно задать максимальное количество сессий на хомяка и максимальную скорость открытия новых сессий на хомяка. Но по L4, правда.

но это же не флуд... у юзеров же иногда и здравое желание возникает :)))

Есс-но, поэтому оно настравается не в параноидальном режиме. Но фильтры до L7 можно поставить, спокойно отрабатываются.

[kostich]

Есс-но, поэтому оно настравается не в параноидальном режиме. Но фильтры до L7 можно поставить, спокойно отрабатываются.

ну вот мне человек написал, что мол там айпи нашего абонента был на стопддос.ру, а от него там было ваще всего 7 сессий из нескольких тыщ... я же не могу человеку сказать, что после этого у абонента синий экран был, но объяснить как-то надо.

 

ps. а от L4 до L7 это как?

 

[cmhungry]

Есс-но, поэтому оно настравается не в параноидальном режиме. Но фильтры до L7 можно поставить, спокойно отрабатываются.

ну вот мне человек написал, что мол там айпи нашего абонента был на стопддос.ру, а от него там было ваще всего 7 сессий из нескольких тыщ... я же не могу человеку сказать, что после этого у абонента синий экран был, но объяснить как-то надо.

 

ps. а от L4 до L7 это как?

L4 флуд детектор, udp/tcp/icmp, по портам

 

до L7 фильтр - запретить посещать porno.ru, например, по HTTP. Или запрашивать конкретную страничку на сайте.