DDoS-атаки и как от них защищаться. Систематизация мирового и российского опыта

[Navu]

Основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.

 

Полный текст новости

[MiB]

вторая, абсолютно бесполезная статья :( расчитанная на "аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных"

[chainick]

Ну вот опять получились общие рекомендации, на практике неприменимые.

[Ivan_83]

Цыско пиар.

[Guest iru]

нужно более бюджетное решение.... которое действительно пойдет в массы

[Guest savio]

автор пусть не обижается, но интересней читать, когда затрагивается не сухая теория, а немного практических решений. А то читаешь и понимаешь что "масло масленое"... и все ожидаешь, когда будут конкретные примеры....

[puxpux]

Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании.

В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0.

Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

[mantyr]

"Производительность - Анализируется трафик до 2 Гбит/с"

 

Дальше читать нет смысла. Для альтернативщиков статья бесполезна, для "операторского класса" слишком мелко и не интересно. Афтор пищи ещё...

[Guest test]

Производительность :

1.Анализируется трафик до 2 Гбит/с - касаемо решения Циски.

2.Практически неограниченна (можно уменьшать частоту выборки)- касаемо решения Arbor. Пожалуйста, читайте внимательно.

Дамы и джентельмены, а Вы тут хотели Тех. Проект найти? Вам дали основу, сами думаете дальше как это применить.

[Guest К]

Соглашусь с ораторами, автору не стоит путать корпоративные решения и операторские!

[Guest Валера]

Арбор то конечно чисто решение для корпоративного сектора. Наверное поэтому стоит только в Синтерре, Мегафоне и Уралсвязьинформе.

[Guest mumu]

Зато сколько железа можно толкнуть под такую тему...

[Guest Артем]

Кроме всего прочего, не знаю как в центре страны, но за Уралом этих решений либо нет, либо персонал перечисленных операторов не умеет их применять.

По состоянию на сегодня, в случае DDoS атаки через каналы магистралов на внутрисетевые ресурсы, проще вообще перестать анонсировать ресурс, чем добиться от региональных представительств каких-либо комментариев и действий.

Если же имеет место атака на диапазон IP (например выделенные VPN-пулы), проще держать в резерве другой блок IP-адресов и сменить его целиком.

И только если атака имеет глобальный характер, превышающий не только наши местные аплинки, но и оказывающий негативное влияние на магистрали, тогда начинает шевелиться Москва.

А уж на местном уровне, если имеет место проблема в городе, извините, но дешевле и быстрее найти автора проблемы и дать по шее, чем иметь это оборудование.

[Strider]

Добрый день! Я являюсь автором данной статьи. Постараюсь ответить на комментарии к своей статье.

 

> Кроме всего прочего, не знаю как в центре страны, но за Уралом этих решений либо нет, либо персонал перечисленных операторов не умеет их применять.

Данные решения есть:

1. У операторов связи масштаба страны, в том числе - Ростелеком, ТТК. Данные операторы обслуживают в том числе и регионы за Уралом

2. У некоторых межрегиональных операторов связи, например - у того же УСИ

В ближайшем будущем они будут только расширять рынок присутствия.

А что, разве аудитория данного сайта находится только на Урале или за Уралом?

 

>По состоянию на сегодня, в случае DDoS атаки через каналы магистралов на внутрисетевые ресурсы, проще вообще перестать анонсировать ресурс, чем добиться от региональных представительств каких-либо комментариев и действий.

Если же имеет место атака на диапазон IP (например выделенные VPN-пулы), проще держать в резерве другой блок IP-адресов и сменить его целиком.

 

Если оператор связи предоставляет хостинг крупному клиенту (например, крупный банк или администрация), против которого началась DDoS-атака, то данные действия не вызовут восторга ни у клиента, ни у руководства оператора связи, так как цель атаки (недоступность атакуемого ресурса) будет достигнута.

 

>И только если атака имеет глобальный характер, превышающий не только наши местные аплинки, но и оказывающий негативное влияние на магистрали, тогда начинает шевелиться Москва.

Вообще не понял при чем тут Москва. Если атака пошла на сайт банка серез каналы УСИ (например), то именно оборудование установленное в УСИ и будет заниматься обнаружением и подавлением этой атаки. Либо оборудование, установленное на в магистрали операторов более высокого уровня, у которых УСИ получает Интернет.

 

>Арбор то конечно чисто решение для корпоративного сектора. Наверное поэтому стоит только в Синтерре, Мегафоне и Уралсвязьинформе.

 

Сложно прокомментировать. Arbor стоит в Ростелекоме, Транстелекоме, РТКомме, УСИ, Сибирьтелекоме, у некоторых операторов Москвы.

Edited December 22, 2009 by Strider

[Strider]

>Соглашусь с ораторами, автору не стоит путать корпоративные решения и операторские!

 

Абсолютно не путаю, а вот автор комментария по-моему невнимательно читал статью. Arbor Peakflow SP, Arbor eSeries (DPI) - операторские решения. Cisco Detector/Guard - решения как для операторов, так и для крупных Enterprize. Arbor Peakflow X - решения для Enterprize.

 

Arbor Peakflow SP является именно решением для операторов, оно позволяет собирать данные по flow, SNMP и BGP, анализировать структуру трафика в сети, маршрутизацию и её изменения, очень хорошо масштабируется (для чего предусмотрен ряд специальных возможностей). При сборе данных по flow возможен сбор flow с установленной выборкой (1: 1000, 1: 10 000 и т.д.) чтобы снизить нагрузку на маршрутизаторы и на каналы.

[Strider]

>Цыско пиар.

Читайте внимательно статью. Пиаром циски даже не пахнет.

[Strider]

>Все эти решения ориентированы на корпоративную среду и ограничение "пандемии" какого-то вируса в локальной сети какой-то довольно большой компании.

В операторской среде, даже небольшая DDOS аттака легко забьет внешние каналы и толку от детекторов практически 0.

Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

Единственным действенным способом борьбы с DDOS остается blackholes, с анонсом IP жертвы вышестоящим аплинкам по blackhole BGP сессии.

 

Правда? А ничего, что больше половины операторов связи верхнего уровня в мире используют решения Arbor peakflow SP и/или Cisco Detector/Guard для мониторинга и защиты от DDoS-атак и аномалий трафика?

 

Решениями для корпоративной сети являются сенсоры обнаружения атак а ля Cisco IPS / Check Point IPS-1 / Juniper IDP / Snort, а также системы анализа и корреляции событий ИБ а ля Cisco MARS / IBM ISS SiteProtector, Arbor Peakflow X и т.д. Естественно, в совокупности с файрволами, резервированием каналов и другими стандартными средствами.

 

>Netflow сенсоры уведут в коматоз control plain 6500/7600 несмотря на все настроеные полиси.

У многих крупных операторов используются не 6500/7600, а Cisco GSR, CRS или маршрутизаторы Juniper, Alcatel, Huawei, других вендоров. Решения Arbor Peakflow SP совместимы со всеми.

Edited December 22, 2009 by Strider

[Дятел]

"Производительность - Анализируется трафик до 2 Гбит/с"

 

Дальше читать нет смысла. Для альтернативщиков статья бесполезна, для "операторского класса" слишком мелко и не интересно. Афтор пищи ещё...

просто не нужно отностить себя к альтернативе, отнесите к пионерам и не читайте....

[mantyr]

Что за дела, почему статья в топ вышла? Подкормка понятия де-жа-вю?

[Guest Nurlan]

Грамотная статья. Именно в таком формате реализовано у нас.

Но есть проблемы с работой J-flow. Просто не дотягивает производительность flouPIC-ов.

[Beginner]

Интересна цена вопроса. С какой толщины каналов стоит приобретать рекламируемый arbor?

Кстати, сколько % рынка он занимает? Других решений нет вообще?

[Guest вася]

микротест цыско пиар.

автор не понимает сути и сразу рекламит свое тупое железо.

гг.

ниочем реклама пиар.

[ipod_nano]

мдааам, труда и времени на эту статью ушло не мало...

[kostich]

зацените HTTP запрос

 

GET / HTTP/1.1
Host: www.firepoint.ru
Accept: text/html, */*
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Accept-Encoding: identity
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Referer: http://lineager.ru/
http://l2top.ru/
http://la2.mmotop.ru/
User-Agent: zilla/5.0 (X11; ; Linux i686; en-US; rv:1.8.1.3) Gecko
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070321
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Mozilla/4.8 [en] (Windows NT 5.1; U)
Mozilla/5.0 (Macintosh; U; Intel Mac OS X; nl-NL; rv:1.8.1.3) Gecko/20080722
Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en; rv:1.8.1.2pre) Gecko/20070223
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4pre) Gecko/20070404 K-Ninja/2.1.3
Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.8.1.4pre) Gecko/20070404 K-Ninja/2.1.3
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.54 Safari/535.2
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0 Safari/535.2
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_0) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0 Safari/535.2
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.861.0
Safari/535.2
Mozill