Защита от DDoS на уровне ISP

[pnv]

Относительно недавно ЦБ РФ прислал письмо во все Банки (наши клиенты) с рекомендациями, при заключении договоров с провайдерами предусматривать дополнительно в

перечне услуг обеспечение инф без-ти силами провайдера, в частности

фильтрация трафика по требованию кред. организации, информирование о

DDOS, принятие мер к нейтрализации DDOS.

Интересен опыт других провайдеров по организации защиты от DDOS и других атак.

 

С уважением, Николай.

[sdy_moscow]

Главное ценник правильный на такие услуги ставить ;-)...

[Солнечный КОТ]

Интересно, каким образом вы будете бороться с ддосом в пару гигабит???

[t0ly]

bgp blackhole community ?

[Солнечный КОТ]

Я спросил "вы", а не коммунити.

 

У ЦБ просто налицо непонимание проблемы публичного интернета в целом вообще. Как системы.

[t0ly]

я имел ввиду посылку комьюнити атрибута аплинку

[chainick]

Интересно, каким образом вы будете бороться с ддосом в пару гигабит???

Очень простым. admin@GUARD-conf-zone# zone XXX protect

 

Проверено ведущими домохозяйками - работает.

[romka]

Cisco Guard в паре с Anomany Detector или Arbor Peakflow (централизованно детектит по flows) установленные на upstream оператора, например TTK :)

идеальное дорогое решение, или тупой blackhole в bgp :)

 

Guard насколько мне не изменяет память идет с лицензией только на 3Gigabit, т.е. в 7600 пачку модулей вбухивается, appliance смысла нет рассматривать с их MMF интерфейсами.

 

- Guard

Оттестировано в ТТК было год назад с ЮТК, сейчас насколько мне не изменяет память уже на апстримах стоят - в Лондоне точно ну и Arbor Peakflow ессесно в ТТК на деле, а в РТК для менеджеров пики заказчиков ловит :)

 

 

на Juniper еще какая-то приблуда к BGP была, вот только забыл её именование, в РТК вроде тестили год назад. :).

 

 

картинки тут: https://www.cisco.com/en/US/solutions/colla...cd80511f1e.html

Edited February 26, 2009 by romka

[chainick]

На самом деле, для ПП, никакого аномали детектора не нужно, если говнотрафик очищается в сторону автоомной системы со своими подсетями - на уровне провайдера Гард анонсит чуть более, чем специфичные подсети и переводит трафик на себя.

 

Вам изменяет память в том, что по-дефолту идет лицензия а 1Гбит, с докупкой до 3-х на 1 модуль. Как говорится, up to x modules на шасси. Причем, при системе морспецификов для заворота трафика, этих шаси можно поставить более, чем достаточно.

 

 

Это не реклама, просто отзыв реального пользователя этого решения, которое обеспечило работу публичных сервисов при атаках под 6 гигабит с соотв количеством килопакетов.

[Солнечный КОТ]

я имел ввиду посылку комьюнити атрибута аплинку

Вот с этого и начинается вопрос. ОБЯЗАН ли ваш аплинк по вашему договору заблокировать данный траффик к вам?

Или эти действия базируются как всегда на небумажных договоренностях? Несет ли ваш аплинк какую-либо ответственность за то, что не заблокирует? Или заблокирует поздно?

 

[romka]

как правило доп. услуга для заказчиков за энную сумму $, смысл это бесплатно ставить - за DDoS ведь заказчик платит :) ?

 

ps: с какого это Guard будет инжектить маршруты на себя, он в линии на постоянке по факту не должен находиться.

обычно используются схемы обнаружения, оповещения и инжекта маршрута к Guard посредством Arbor Peakflow SP или Anomaly Detector, далее Guard тупо чистит трафик в соответствии с лицензией 1G или допустим 3G.

 

chainick - мне память вряд ли когда изменяла, лицензия на 1G и 3G почти бесполезны при стыках на апстримах x10G, как показывает практика - при DDoS можно словить полностью загруженный интерфейс.

 

Есть в бывшем Riverhead(сейчас уже Cisco) сотрудник разработки Guard если не совру (Бенни Этцепин) который грозился в роадмапах что-то придумать придумать на счет 10G

Edited February 27, 2009 by romka