Jump to content
Калькуляторы

DDoS-атаки и как от них защищаться. Систематизация мирового и российского опыта

Основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.

 

Полный текст новости

Share this post


Link to post
Share on other sites

вторая, абсолютно бесполезная статья :( расчитанная на "аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных"

Share this post


Link to post
Share on other sites

Ну вот опять получились общие рекомендации, на практике неприменимые.

Share this post


Link to post
Share on other sites
Guest iru

нужно более бюджетное решение.... которое действительно пойдет в массы

Share this post


Link to post
Share on other sites
Guest savio

автор пусть не обижается, но интересней читать, когда затрагивается не сухая теория, а немного практических решений. А то читаешь и понимаешь что "масло масленое"... и все ожидаешь, когда будут конкретные примеры....

Share this post


Link to post
Share on other sites

Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании.

В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0.

Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

Share this post


Link to post
Share on other sites

"Производительность - Анализируется трафик до 2 Гбит/с"

 

Дальше читать нет смысла. Для альтернативщиков статья бесполезна, для "операторского класса" слишком мелко и не интересно. Афтор пищи ещё...

Share this post


Link to post
Share on other sites
Guest test

Производительность :

1.Анализируется трафик до 2 Гбит/с - касаемо решения Циски.

2.Практически неограниченна (можно уменьшать частоту выборки)- касаемо решения Arbor. Пожалуйста, читайте внимательно.

Дамы и джентельмены, а Вы тут хотели Тех. Проект найти? Вам дали основу, сами думаете дальше как это применить.

Share this post


Link to post
Share on other sites
Guest К

Соглашусь с ораторами, автору не стоит путать корпоративные решения и операторские!

Share this post


Link to post
Share on other sites
Guest Валера

Арбор то конечно чисто решение для корпоративного сектора. Наверное поэтому стоит только в Синтерре, Мегафоне и Уралсвязьинформе.

Share this post


Link to post
Share on other sites
Guest mumu

Зато сколько железа можно толкнуть под такую тему...

Share this post


Link to post
Share on other sites
Guest Артем

Кроме всего прочего, не знаю как в центре страны, но за Уралом этих решений либо нет, либо персонал перечисленных операторов не умеет их применять.

По состоянию на сегодня, в случае DDoS атаки через каналы магистралов на внутрисетевые ресурсы, проще вообще перестать анонсировать ресурс, чем добиться от региональных представительств каких-либо комментариев и действий.

Если же имеет место атака на диапазон IP (например выделенные VPN-пулы), проще держать в резерве другой блок IP-адресов и сменить его целиком.

И только если атака имеет глобальный характер, превышающий не только наши местные аплинки, но и оказывающий негативное влияние на магистрали, тогда начинает шевелиться Москва.

А уж на местном уровне, если имеет место проблема в городе, извините, но дешевле и быстрее найти автора проблемы и дать по шее, чем иметь это оборудование.

Share this post


Link to post
Share on other sites

Добрый день! Я являюсь автором данной статьи. Постараюсь ответить на комментарии к своей статье.

 

> Кроме всего прочего, не знаю как в центре страны, но за Уралом этих решений либо нет, либо персонал перечисленных операторов не умеет их применять.

Данные решения есть:

1. У операторов связи масштаба страны, в том числе - Ростелеком, ТТК. Данные операторы обслуживают в том числе и регионы за Уралом

2. У некоторых межрегиональных операторов связи, например - у того же УСИ

В ближайшем будущем они будут только расширять рынок присутствия.

А что, разве аудитория данного сайта находится только на Урале или за Уралом?

 

>По состоянию на сегодня, в случае DDoS атаки через каналы магистралов на внутрисетевые ресурсы, проще вообще перестать анонсировать ресурс, чем добиться от региональных представительств каких-либо комментариев и действий.

Если же имеет место атака на диапазон IP (например выделенные VPN-пулы), проще держать в резерве другой блок IP-адресов и сменить его целиком.

 

Если оператор связи предоставляет хостинг крупному клиенту (например, крупный банк или администрация), против которого началась DDoS-атака, то данные действия не вызовут восторга ни у клиента, ни у руководства оператора связи, так как цель атаки (недоступность атакуемого ресурса) будет достигнута.

 

>И только если атака имеет глобальный характер, превышающий не только наши местные аплинки, но и оказывающий негативное влияние на магистрали, тогда начинает шевелиться Москва.

Вообще не понял при чем тут Москва. Если атака пошла на сайт банка серез каналы УСИ (например), то именно оборудование установленное в УСИ и будет заниматься обнаружением и подавлением этой атаки. Либо оборудование, установленное на в магистрали операторов более высокого уровня, у которых УСИ получает Интернет.

 

>Арбор то конечно чисто решение для корпоративного сектора. Наверное поэтому стоит только в Синтерре, Мегафоне и Уралсвязьинформе.

 

Сложно прокомментировать. Arbor стоит в Ростелекоме, Транстелекоме, РТКомме, УСИ, Сибирьтелекоме, у некоторых операторов Москвы.

Edited by Strider

Share this post


Link to post
Share on other sites

>Соглашусь с ораторами, автору не стоит путать корпоративные решения и операторские!

 

Абсолютно не путаю, а вот автор комментария по-моему невнимательно читал статью. Arbor Peakflow SP, Arbor eSeries (DPI) - операторские решения. Cisco Detector/Guard - решения как для операторов, так и для крупных Enterprize. Arbor Peakflow X - решения для Enterprize.

 

Arbor Peakflow SP является именно решением для операторов, оно позволяет собирать данные по flow, SNMP и BGP, анализировать структуру трафика в сети, маршрутизацию и её изменения, очень хорошо масштабируется (для чего предусмотрен ряд специальных возможностей). При сборе данных по flow возможен сбор flow с установленной выборкой (1: 1000, 1: 10 000 и т.д.) чтобы снизить нагрузку на маршрутизаторы и на каналы.

Share this post


Link to post
Share on other sites

>Цыско пиар.

Читайте внимательно статью. Пиаром циски даже не пахнет.

Share this post


Link to post
Share on other sites

>Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании.

В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0.

Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

 

Правда? А ничего, что больше половины операторов связи верхнего уровня в мире используют решения Arbor peakflow SP и/или Cisco Detector/Guard для мониторинга и защиты от DDoS-атак и аномалий трафика?

 

Решениями для корпоративной сети являются сенсоры обнаружения атак а ля Cisco IPS / Check Point IPS-1 / Juniper IDP / Snort, а также системы анализа и корреляции событий ИБ а ля Cisco MARS / IBM ISS SiteProtector, Arbor Peakflow X и т.д. Естественно, в совокупности с файрволами, резервированием каналов и другими стандартными средствами.

 

>Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

У многих крупных операторов используются не 6500/7600, а Cisco GSR, CRS или маршрутизаторы Juniper, Alcatel, Huawei, других вендоров. Решения Arbor Peakflow SP совместимы со всеми.

Edited by Strider

Share this post


Link to post
Share on other sites
"Производительность - Анализируется трафик до 2 Гбит/с"

 

Дальше читать нет смысла. Для альтернативщиков статья бесполезна, для "операторского класса" слишком мелко и не интересно. Афтор пищи ещё...

просто не нужно отностить себя к альтернативе, отнесите к пионерам и не читайте....

Share this post


Link to post
Share on other sites

Что за дела, почему статья в топ вышла? Подкормка понятия де-жа-вю?

Share this post


Link to post
Share on other sites
Guest Nurlan

Грамотная статья. Именно в таком формате реализовано у нас.

Но есть проблемы с работой J-flow. Просто не дотягивает производительность flouPIC-ов.

Share this post


Link to post
Share on other sites

Интересна цена вопроса. С какой толщины каналов стоит приобретать рекламируемый arbor?

Кстати, сколько % рынка он занимает? Других решений нет вообще?

Share this post


Link to post
Share on other sites
Guest вася

микротест цыско пиар.

автор не понимает сути и сразу рекламит свое тупое железо.

гг.

ниочем реклама пиар.

Share this post


Link to post
Share on other sites

мдааам, труда и времени на эту статью ушло не мало...

Share this post


Link to post
Share on other sites

зацените HTTP запрос

 

GET / HTTP/1.1
Host: www.firepoint.ru
Accept: text/html, */*
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Accept-Encoding: identity
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Referer: http://lineager.ru/
http://l2top.ru/
http://la2.mmotop.ru/
User-Agent: zilla/5.0 (X11; ; Linux i686; en-US; rv:1.8.1.3) Gecko
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070321
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Mozilla/4.8 [en] (Windows NT 5.1; U)
Mozilla/5.0 (Macintosh; U; Intel Mac OS X; nl-NL; rv:1.8.1.3) Gecko/20080722
Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en; rv:1.8.1.2pre) Gecko/20070223
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4pre) Gecko/20070404 K-Ninja/2.1.3
Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.8.1.4pre) Gecko/20070404 K-Ninja/2.1.3
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.54 Safari/535.2
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0 Safari/535.2
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_0) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0 Safari/535.2
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0
Safari/535.2
Mozill

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this