Jump to content
Калькуляторы

Защита от DDoS на уровне ISP Новые требования ЦБ...

Относительно недавно ЦБ РФ прислал письмо во все Банки (наши клиенты) с рекомендациями, при заключении договоров с провайдерами предусматривать дополнительно в

перечне услуг обеспечение инф без-ти силами провайдера, в частности

фильтрация трафика по требованию кред. организации, информирование о

DDOS, принятие мер к нейтрализации DDOS.

Интересен опыт других провайдеров по организации защиты от DDOS и других атак.

 

С уважением, Николай.

Share this post


Link to post
Share on other sites

Я спросил "вы", а не коммунити.

 

У ЦБ просто налицо непонимание проблемы публичного интернета в целом вообще. Как системы.

Share this post


Link to post
Share on other sites

я имел ввиду посылку комьюнити атрибута аплинку

Share this post


Link to post
Share on other sites
Интересно, каким образом вы будете бороться с ддосом в пару гигабит???

Очень простым. admin@GUARD-conf-zone# zone XXX protect

 

Проверено ведущими домохозяйками - работает.

Share this post


Link to post
Share on other sites

Cisco Guard в паре с Anomany Detector или Arbor Peakflow (централизованно детектит по flows) установленные на upstream оператора, например TTK :)

идеальное дорогое решение, или тупой blackhole в bgp :)

 

Guard насколько мне не изменяет память идет с лицензией только на 3Gigabit, т.е. в 7600 пачку модулей вбухивается, appliance смысла нет рассматривать с их MMF интерфейсами.

 

- Guard

Оттестировано в ТТК было год назад с ЮТК, сейчас насколько мне не изменяет память уже на апстримах стоят - в Лондоне точно ну и Arbor Peakflow ессесно в ТТК на деле, а в РТК для менеджеров пики заказчиков ловит :)

 

 

на Juniper еще какая-то приблуда к BGP была, вот только забыл её именование, в РТК вроде тестили год назад. :).

 

 

картинки тут: https://www.cisco.com/en/US/solutions/colla...cd80511f1e.html

Edited by romka

Share this post


Link to post
Share on other sites

На самом деле, для ПП, никакого аномали детектора не нужно, если говнотрафик очищается в сторону автоомной системы со своими подсетями - на уровне провайдера Гард анонсит чуть более, чем специфичные подсети и переводит трафик на себя.

 

Вам изменяет память в том, что по-дефолту идет лицензия а 1Гбит, с докупкой до 3-х на 1 модуль. Как говорится, up to x modules на шасси. Причем, при системе морспецификов для заворота трафика, этих шаси можно поставить более, чем достаточно.

 

 

Это не реклама, просто отзыв реального пользователя этого решения, которое обеспечило работу публичных сервисов при атаках под 6 гигабит с соотв количеством килопакетов.

Share this post


Link to post
Share on other sites
я имел ввиду посылку комьюнити атрибута аплинку

Вот с этого и начинается вопрос. ОБЯЗАН ли ваш аплинк по вашему договору заблокировать данный траффик к вам?

Или эти действия базируются как всегда на небумажных договоренностях? Несет ли ваш аплинк какую-либо ответственность за то, что не заблокирует? Или заблокирует поздно?

 

Share this post


Link to post
Share on other sites

как правило доп. услуга для заказчиков за энную сумму $, смысл это бесплатно ставить - за DDoS ведь заказчик платит :) ?

 

ps: с какого это Guard будет инжектить маршруты на себя, он в линии на постоянке по факту не должен находиться.

обычно используются схемы обнаружения, оповещения и инжекта маршрута к Guard посредством Arbor Peakflow SP или Anomaly Detector, далее Guard тупо чистит трафик в соответствии с лицензией 1G или допустим 3G.

 

chainick - мне память вряд ли когда изменяла, лицензия на 1G и 3G почти бесполезны при стыках на апстримах x10G, как показывает практика - при DDoS можно словить полностью загруженный интерфейс.

 

Есть в бывшем Riverhead(сейчас уже Cisco) сотрудник разработки Guard если не совру (Бенни Этцепин) который грозился в роадмапах что-то придумать придумать на счет 10G

Edited by romka

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this