"Акадо-Телеком": "В начале года мы обучались на «живых» клиентах"

[Robot_NagNews]

Материал:

Защита от DDoS - явный тренд сезона, причем не в теоретическом, а уже в практическом плане. С запросами о такой услуге к сервис-провайдерам обращаются не только крупные корпоративные клиенты - это интересует компании любого уровня, которые зарабатывают деньги в Сети. Одной из компаний, которая об этом подумала является "Акадо-Телеком" - в коммерческий режиме услуга "Защита от DDoS" будет представлена в конце августа, но нам удалось побеседовать об этом с первым заместителем генерального директора, техническим директором компании Юрием Скобелевым.

 

Полный текст

[Guest Василий]

Какая-то рекламная байда. Уж извините.

[Nag]

Какая-то рекламная байда. Уж извините.

Вы настоящей рекламной байды не видели. :-)

Любой "саморасказчик" будет выставлять себя в позитивном свете, это нормальная объективная реальность.

Т.е. для этого жанра статья, на мой взгляд, хороша - много реальных цифр, да и вполне объективно все...

[Guest nerik]

Согласен с nag'ом. Статья неплохая, хоть и присутствует в ней скрытая реклама. Мне понравилось)

[Guest Василий]

Ну цифра тут только одна - сколько готовы брать с клиента. Все остальные цифры по скоростям не информативные. Ну и единственное что интересно - на базе чего это сделано "Arbor Networks" И скорость порта 1Gb/s

[Guest doctorsoul (автор материала)]

В материала отражена ситуация по конкретному оператору с максимально возможной детализацией. По крайней мере это дает возможность сделать выбор - идти к ним или к другим.

[rixo]

атака:

ботнет в 50к зомби, начинает обращаться к web-магазину и шарить по каталогу товаров, маскируясь под обычные запросы браузера. Траф подскакивает в 10 раз апач и база падает, загрузка проца 100%

 

пожалуйста опишите способ очистки трафа

[lip]

Ну цифра тут только одна - сколько готовы брать с клиента. Все остальные цифры по скоростям не информативные. Ну и единственное что интересно - на базе чего это сделано "Arbor Networks" И скорость порта 1Gb/s

Вот тут коренной вопрос - если порты (много:)) по 10 GE и фикисированный платеж , хоть по несколько Кило-уе, это хорошо и это для операторов. Если 1GE и стоимость защиты +50-100% от рыночной стоимости полосы, это для банков и т.п.

[Guest bifit]

DDoS'ы разные бывают. Как и инструменты для защиты.

 

Защищать каналы и HTTP-ресурсы от сетевого флуда (TCP-флуда - SYN, Fin+Ack, Reset, SYN+Ack, Fragmentation, а также флуда по UDP, ICMP и IGMP), защищать Web-сервера от http-флуда - относительно легкая задача.

 

Удел Arbor Peakflow SP - только большие распределенные сети крупного оператора. И то, не всё так просто, как в презентациях вендора.

 

Например, что использовать в качестве флоу-сенсоров в уже построенной реально действующей распределенной сети - получать Netflow без семплирования (1:1) от Cisco 7600 с 10GbE каналов?!

 

Общественность вообще в курсе стоимости коллектора Arbor CP5500-5? Или митигатора Arbor TMS 3050?

 

Из реальных решений по крайней мере для датацентров, а также для корпорэйта рекомендую посмотреть тяжелый Radware DefensePro 8412 - до 8Gbps при небольшом количестве политик, честные 10Mpps для всех типов флуда (сказывается наличие на борту двух EZChip NP3), 4 x 10GbE XFP-порта, аппаратный IPS на контекстном процессоре NETL7 компании Netlogic Microsystem. Работает в режиме INLINE, L2-прозрачен. По функционалу - в хорошем смысле сборная солянка нескольких десятков разноплановых механизмов защиты от DDoS-атак, включая поведенческую защиту с DPI и самообучением, аппаратный IPS, BWM, HTTP Mitigator и пр.

 

Для знакомства рекомендую читать UserGuide - http://www.bifit.com/ru/radware/

 

Но в любом случае защита от DDoS-атак стандартный приложений относительно легкая задача :)

 

Другое дело - проприетарные системы типа Интернет-Банкинга и др.

 

Там уже как минимум HTTPS и заглянуть внутрь HTTPS-запроса оператору не представляется возможным без наличия у оного секретного ключа SSL-сертификата, предварительно полученного от заказчика.

 

Для защиты таких приложений уже требуется плотная интеграция инструмента защиты от DDoS-атак с защищаемой прикладной системой.

 

И что самое плохое - мегакритичность легитимного трафика.

 

Если митигатор убъет легитимный клиентский трафик Интернет-Банкинга, когда клиент уровня Газпрома или РЖД (то есть VIP-юрик) не получит доступ к своим банковским счетам из-за плохой работы DDoS-защиты, вот тогда от банка действительно Цунами подымается. По опыту знаем :)

[Ivan_83]

клиент уровня Газпрома или РЖД (то есть VIP-юрик)

Таких в белые списки не сложно затолкать.

[Guest bifit]

Так ведь Газпром - это же Холдинг, то есть большое множество юриков - дочки, внучки , правнучки и праправнучки. Вплоть до газораспределительной станции в Урюпинске.

 

И опять же, куда прикажите IP-адреса этих юриков заносить?

 

А если TCP SYN flood со спуфингом, и при этом в качестве IP-адреса отправителя злоумышленник указывает IP-адреса этих всех легитимных юриков?

 

Многие и как часто сталкиваются с боевым SYN-флудом со спуфингом в ~7Gbps и ~10Mpps ? Кто, чем и как борется?

[Andrei]

Таких в белые списки не сложно затолкать.

На счет несложно - http://www.vedomosti.ru/newspaper/opinions/2010/07/26/241578

 

Хакеры увели клиента

Владелец процессинговой системы Assist лишился одного из основных клиентов - «Аэрофлота» из-за хакерской атаки, на борьбу с последствиями которой ушла неделя. Авиакомпания перейдет на аналогичную систему Альфа-банка

Аэрофлот» был вынужден приостановить онлайн-продажу билетов на неделю с 16 по 22 июля, а в пятницу возобновил прием платежей в интернете

Персональные данные клиентов не пострадали, но оплачивать билеты через интернет было невозможно, говорит представитель «Аэрофлота» Ирина Данненберг.

[AlexBT]

Сначала заходите люди добрые, берите что хотите!

А потом - спасите от супостата проклятого с его распределенной атакой!

Последствия экономики Интернета - нате вам пацаны по сто мегабит на халяву. Вот и зарабатывают как могут - организуют распределенные атаки за деньги с халявных полос.

Клиент должен платить за исходящий с него трафик, а не за безлимитную двухстороннюю полосу. Тогда будет и с вирусами, спамом, ботнетами бороться. Вплоть до физического отключения от сети в нерабочее время.

[Konstantinus]

Клиент должен платить за исходящий с него трафик, а не за безлимитную двухстороннюю полосу. Тогда будет и с вирусами, спамом, ботнетами бороться. Вплоть до физического отключения от сети в нерабочее время.

Вы бы весь список привели, что Клиент должен. А то так то недосказанно получаеться

[Tima]

Например, что использовать в качестве флоу-сенсоров в уже построенной реально действующей распределенной сети - получать Netflow без семплирования (1:1) от Cisco 7600 с 10GbE каналов?!

Это где это у вас реально действующая сеть с netflow без сэмплирования на 10ж скоростях с 76?!

 

[Dimitry_Repan]

И я об этом же.

 

То есть далеко не у каждого оператора стоит в ядре железка, способная без особого напряга выполнять еще и функцию флоусенсора, выдавая netflow с потока в 10Gb и более.

 

76-я при netflow с потока 1Gb почти умирает :)

 

В идеале увидеть бы в форуме реальные, а не лабораторные схемы внедрения Arbor Peakflow SP.

 

Такой-то оператор, собираем с таких-то железок информацию о проходящем XX Gb трафике по netflow/сflow/jflow/sflow. Направляем информацию о трафике в такой-то коллектор (например, CP5500-5), обслуживающий реально такое-то количество флоусенсоров. Суммарный flow-трафик на коллектор - столько-то Mb или Gb.

 

Или же кто-то из операторов в продакшене использует софтверный арборовский флоусенсор на базе обычного интеловского сервера с обычной сетевой картой?!

 

Далее. Для предотвращения DDoS-атак используем такой-то митигатор (например, TMS-3110), подключенный такими-то линками к ядру. Или же митигатор не используем, а коллектор банально управляет ACL на роутере.

 

Вот такая история была бы интересна многим :)

[Nag]

Вот такая история была бы интересна многим :)

Пока есть только забавная антиистория. Через несколько дней опубликуем - будет понятнее.

А пот по позитиву - может поделитесь данными и опытом?

[AlexBT]

Вы бы весь список привели, что Клиент должен. А то так то недосказанно получаеться

А зачем? Практика говорит о том, что однократное попадание клиентом на бабки делает его супер предприимчивым по части экономии средств на связи. Клавишу выкл. находит быстро...

 

[Dimitry_Repan]

Могу поделиться своими личными субъективными выводами:

 

1. Тема защиты от DDoS-атак - топиковая.

В связи с чем каждый вендор телекомоборудования считает своим долгом вставить в свое решение как минимум пару..тройку чекбоксов и объявить оное панацеей от DDoS-атак.

 

2. Идеального решения для защиты от DDoS-атак, так чтобы поставил и забыл - не существует.

 

3. Вендоров, предоставляющее действенные решения, существенно облегчающие противостоять DDoS-атакам - единицы.

 

4. К решениям стартапов надо подходить очень аккуратно и всё щупать лично в боевых условиях как минимум месяц.

 

5. При знакомстве с решением обязательным является "засовывать пятак" во все внутренности решения - софтверная или хардварная реализация.

Если хардварная, то какая конкретно - на универсальных сетевых процессорах типа EZChip NP3 или на топовых FPGA типа Xilinx Virtex-6 HXT.

Какие конкретно механизмы для защиты от каких конкретно DDoS-атак реализованы хардварно. Какие ТТХ в итоге - Gbps, Mpps, cps и пр.

 

6. Чистый IPS типа Cisco 4270, и даже хардварно прокаченный IPS с использованием конктекстных процессоров и/или FPGA (Force10Network P10) не спасает от всего разнообразия DDoS-атак.

 

7. Для централизованных внедрений - то есть для корпорэйта и датацентров/хостеров - могу рекомендовать только одно решение - Radware DefensePro на платформе ODS 3S2 с EZChip NP3 на борту и firmware 5.x.

 

Соответственно для старта можно взять решение на 4Gb - Radware DefensePro 4412 IPS & Behavioral Protection (GPL 132k$).

 

При необходимости можно оперативно (софтверно) раскрыть железку до 8Gb (GPL +64k$).

 

Решение не идеальное, но своих денег точно стоит. При вдумчивой настройке в разрезе защищаемых приложений чистит довольно тонко. Затраты отрабатывает сполна. Из плюсов - есть API для интеграции с проприетарными приложениями типа Интернет-Банкинга и подобных систем. Из минусов - ИМХО, не годится для ЦЕНТРАЛИЗОВАННОЙ защиты географически распределенной операторской сети, IPv6 не везде поддерживает хардварно, весь функционал доступен только при включении "inline". Хотя в начале 2010 года Франстелеком взял около 150 самых тяжелых DefensePro-8412.

 

 

8. Для ЦЕНТРАЛИЗОВАННОЙ защиты от DDoS-атак географически распределенных операторских сетей ничего кроме Arbor Peakflow SP рекомендовать не буду.

Решение универсально, исключительно операторского класса и ориентировано на оказание клиентам услуг по очистке трафика.

Масштабируется горизонтально и вертикально. Самое то для операторов уровня Ростелеком с его бюджетами.

 

Из минусов:

 

- чистит грубо, реагирует с задержками, временами требует "пинка" админа; для оператора всплеск 50 Мбит что слону булочка, а для корпорэйта с каналом в десяток мегабит - смерть.

 

- требует соответствующей инфраструктуры от оператора - надо как-то собирать информацию о трафике; чем с меньшим прореживанием (с большей точностью) собираем инфу о трафике - тем больше нагрузка на маршрутизаторы (уже упоминалось, что Cisco 7600 не может без надрыва отдавать Netflow с трафика даже в 1Gb)

 

- бесполезен при защите Web-серверов от HTTPS-флуда, а также проприетарных Internet-приложений

 

- стоит как самолет (подержанный); в прямом смысле слова :)

 

 

[homeless]

 

 

Сухой остаток: и в Акаде появились (или выросли) специалисты... Мы тут вобщем все, во внутримкадье не лаптем щи хлебаем =)

Edited July 27, 2010 by homeless

[dvolodin]

Для HTTP и HTTPS интересное решение есть у f5 (VIPRION). Помимо SSL-offloading'а есть еще обучаемые application profiles. В качестве бонуса и основного назначения - load balancer.

Ну и в целом не мешает припереть чем-то вроде Juniper SRX.

[vIv]

Практика говорит о том, что однократное попадание клиентом на бабки делает его супер предприимчивым по части экономии средств на связи. Клавишу "выкл. дурн. пров." находит быстро...

Именно на этом и появились, и внедрились анлимиты. Обычный человек не хочет, чтобы его за его же деньги заставляли думать. Поэтому проще чуть переплатить, но не думать о том, что тебе неинтересно. Что, в общем-то, логично.

[bifit]

Вариант с SSL-offloading требует передачи секретного ключа SSL-сертификата от клиента-заказчика к оператору дабы оператор загрузил секретный ключ в своё решение для защиты HTTPS-ресурса клиента от прикладных DDoS-атак.

 

Подобный подход далеко не всегда применим. Если защищаемое решение - интернет-банкинг или платежный сервис, то банк-заказчик не станет давать оператору возможность просматривать содержимое HTTP-запросов вместе с логинами, паролями и всей банковской информации своих клиентов юриков и физиков.

 

На то банк и применяет SSL, чтобы никто, в том числе и операторы, не мог посмотреть информацию интернет-банкинга.

 

В тоже время, если оборудование для защиты от DDoS-атак находится в полном управлении банка, а оператор только размещает это оборудование у себя в дата-центре и позволяет банку своими силами чистить свой трафик - тогда другое дело.

 

Кстати, такие механизмы балансировки и просмотра SSL-трафика есть не только у F5 :)

 

У Radware также есть несколько линеек балансировщиков AppDirector XL с набортными аппаратными криптоускорителями для SSL-offloading'а на базе Cavium'овских чипов Nitrox XL, и даже есть (вернее была) отдельная линейка чисто SSL-ускорителей Radware AppXcel, которые могли подключаться к Radware DefensePro и при наличие секретных ключей SSL-сертификатов защищаемых от DDoS-атак HTTPS-ресурсов, позволяли делать HTTPS Mitigation.

 

Но рынок такого сервиса еще более узок, чем просто защита от DDoS-атак обычного Web-сайта, и если заказчик решает серьезно защищать свой HTTPS-сервис от всего спектра DDoS-атак, тогда предполагается наличие соответствующего бюджета у банка-заказчика на покупку нужного решения и размещение оного у оператора в дата-центре (желательно подключаться в ядро по 10GbE).

 

[AlexBT]

Именно на этом и появились, и внедрились анлимиты. Обычный человек не хочет, чтобы его за его же деньги заставляли думать. Поэтому проще чуть переплатить, но не думать о том, что тебе неинтересно. Что, в общем-то, логично.

Алогично.

Думать не надо при любом тарифном плане, если план честный, условия прочитаны и осознаны, приняты и подписаны.

Для любой железяки есть инструкция в которой написано - пальцы и яйцы в железяку не совать. Ибо этой надписью производитель / продавец страхуют себя от ампутации яиц и пальцев нежелающего думать за свои бабки потребителя. Написали - а дальше дело потребителя - думать или не думать про совать или не совать.

 

Анлимиты появились как результат жадности помноженной на глупость. Обезьянья потребность провайдера находиться в полосе сбыта и роста абонентской базы.

Но практика говорит, что эти безлимиты с душком. Потому что либо с оговоркой до, либо с прямым указанием - 10 ГБайт, а потом до 64Кбит до конца месяца.

В общем - всем надо жить, изготовителям, разработчикам, поставщикам услуг. А по известной пословице: "Не наипешь - не проживешь!" Вот и следуют заветам. А фигли мол делать - капитализм, дикий и подлый... Вот и рассуждаем с умным видом - куда нам бедным без Арбора с портами на 10ГЕ.

А зачем думать и напрягаться - деньги заплачены и "... человек не хочет, чтобы его за его же деньги заставляли думать. Поэтому проще чуть переплатить, но не думать о том, что тебе неинтересно. Что, в общем-то, логично..."

 

[dvolodin]

На то банк и применяет SSL, чтобы никто, в том числе и операторы, не мог посмотреть информацию интернет-банкинга.

 

В тоже время, если оборудование для защиты от DDoS-атак находится в полном управлении банка, а оператор только размещает это оборудование у себя в дата-центре и позволяет банку своими силами чистить свой трафик - тогда другое дело.

У f5 есть partitions, которые можно сдать в аренду. Как вариант - банк может разместить свой LTM на площадке.

 

У Radware также есть несколько линеек балансировщиков AppDirector XL с набортными аппаратными криптоускорителями для SSL-offloading'а на базе Cavium'овских чипов Nitrox XL, и даже есть (вернее была) отдельная линейка чисто SSL-ускорителей Radware AppXcel, которые могли подключаться к Radware DefensePro и при наличие секретных ключей SSL-сертификатов защищаемых от DDoS-атак HTTPS-ресурсов, позволяли делать HTTPS Mitigation.

Отдельный SSL-акселератор - штука достаточно бесполезная. В load balancer'е от него больше пользы.

 

На VIPRION'ах те же Nitrox'ы разварены на лезвиях. Можно их игнорировать, можно прикупить лицензию и использовать на всю катушку. Проверяли на практике, ~12k новых SSL коннектов в секунду держит не напрягаясь. Из плюсов - SSL negotiation полностью снимается с http-сервера. У nginx он блокирующий.

 

Сайты, работающие под нагрузкой - это отдельная тема. От ДЦ требуется только размещение оборудования. Остальная мишура, как правило, неинтересна.