pnv Опубликовано 26 февраля, 2009 · Жалоба Относительно недавно ЦБ РФ прислал письмо во все Банки (наши клиенты) с рекомендациями, при заключении договоров с провайдерами предусматривать дополнительно в перечне услуг обеспечение инф без-ти силами провайдера, в частности фильтрация трафика по требованию кред. организации, информирование о DDOS, принятие мер к нейтрализации DDOS. Интересен опыт других провайдеров по организации защиты от DDOS и других атак. С уважением, Николай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 26 февраля, 2009 · Жалоба Главное ценник правильный на такие услуги ставить ;-)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Солнечный КОТ Опубликовано 26 февраля, 2009 · Жалоба Интересно, каким образом вы будете бороться с ддосом в пару гигабит??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 26 февраля, 2009 · Жалоба bgp blackhole community ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Солнечный КОТ Опубликовано 26 февраля, 2009 · Жалоба Я спросил "вы", а не коммунити. У ЦБ просто налицо непонимание проблемы публичного интернета в целом вообще. Как системы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 26 февраля, 2009 · Жалоба я имел ввиду посылку комьюнити атрибута аплинку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 26 февраля, 2009 · Жалоба Интересно, каким образом вы будете бороться с ддосом в пару гигабит??? Очень простым. admin@GUARD-conf-zone# zone XXX protect Проверено ведущими домохозяйками - работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 26 февраля, 2009 (изменено) · Жалоба Cisco Guard в паре с Anomany Detector или Arbor Peakflow (централизованно детектит по flows) установленные на upstream оператора, например TTK :) идеальное дорогое решение, или тупой blackhole в bgp :) Guard насколько мне не изменяет память идет с лицензией только на 3Gigabit, т.е. в 7600 пачку модулей вбухивается, appliance смысла нет рассматривать с их MMF интерфейсами. - Guard Оттестировано в ТТК было год назад с ЮТК, сейчас насколько мне не изменяет память уже на апстримах стоят - в Лондоне точно ну и Arbor Peakflow ессесно в ТТК на деле, а в РТК для менеджеров пики заказчиков ловит :) на Juniper еще какая-то приблуда к BGP была, вот только забыл её именование, в РТК вроде тестили год назад. :). картинки тут: https://www.cisco.com/en/US/solutions/colla...cd80511f1e.html Изменено 26 февраля, 2009 пользователем romka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 26 февраля, 2009 · Жалоба На самом деле, для ПП, никакого аномали детектора не нужно, если говнотрафик очищается в сторону автоомной системы со своими подсетями - на уровне провайдера Гард анонсит чуть более, чем специфичные подсети и переводит трафик на себя. Вам изменяет память в том, что по-дефолту идет лицензия а 1Гбит, с докупкой до 3-х на 1 модуль. Как говорится, up to x modules на шасси. Причем, при системе морспецификов для заворота трафика, этих шаси можно поставить более, чем достаточно. Это не реклама, просто отзыв реального пользователя этого решения, которое обеспечило работу публичных сервисов при атаках под 6 гигабит с соотв количеством килопакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Солнечный КОТ Опубликовано 27 февраля, 2009 · Жалоба я имел ввиду посылку комьюнити атрибута аплинку Вот с этого и начинается вопрос. ОБЯЗАН ли ваш аплинк по вашему договору заблокировать данный траффик к вам? Или эти действия базируются как всегда на небумажных договоренностях? Несет ли ваш аплинк какую-либо ответственность за то, что не заблокирует? Или заблокирует поздно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 27 февраля, 2009 (изменено) · Жалоба как правило доп. услуга для заказчиков за энную сумму $, смысл это бесплатно ставить - за DDoS ведь заказчик платит :) ? ps: с какого это Guard будет инжектить маршруты на себя, он в линии на постоянке по факту не должен находиться. обычно используются схемы обнаружения, оповещения и инжекта маршрута к Guard посредством Arbor Peakflow SP или Anomaly Detector, далее Guard тупо чистит трафик в соответствии с лицензией 1G или допустим 3G. chainick - мне память вряд ли когда изменяла, лицензия на 1G и 3G почти бесполезны при стыках на апстримах x10G, как показывает практика - при DDoS можно словить полностью загруженный интерфейс. Есть в бывшем Riverhead(сейчас уже Cisco) сотрудник разработки Guard если не совру (Бенни Этцепин) который грозился в роадмапах что-то придумать придумать на счет 10G Изменено 27 февраля, 2009 пользователем romka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...