[Robot_NagNews]

Материал:

Защитой от DDoS занимается множество разных компаний - от локальных ЦОДов, распределенных систем под управлением авторского ПО, до магистральных операторов связи, защищающих своих клиентов на всей территории страны. Причем, число клиентов, которым требуются такие услуги, постепенно растет. О своем подходе к защите компаний, сроках взятия их "под зонтик" безопасности, типологии DDoS-атак нам рассказал Андрей Бугаенко, директор по информационным технологиям компании «Синтерра», недавно перешедшей под контроль «МегаФона».

 

Полный текст

[Tau]

Сначала бы услугу качественную научились подавать... Не связь, а гавно...

[Janus]

Качество вполне соответствует той цене, что вы в своем Липецке платите.

[Dimitry_Repan]

Продавать услуги защиты от DDoS-атак - очень тяжело.

 

Клиент только тогда проникается важностью темы, когда его заденет DDoS.

 

Общаемся с российскими банками-заказчиками.

 

Доносим информацию, что наличие своей AS'ки и пары..тройки выделенных интернет-каналов в 10..20Мбит - это очень высокие риски.

 

Элементарный сетевой флуд (тот же TCP SYN со спуффингом) - и все каналы забиты. А уж если UDP-сервисы (тот же DNS) в банке видны из Интернета - вообще мечта дэдосера. И даже с прикладным DDoS'ом на сервисы никто заморачиваться не будет.

 

Рассказываем о рисках - рисках операционной недоступности (недоступен Интернет-Банкинг, почта, удаленные офисы по L3VPN), об имиджевых рисках (юрики вой подымают несусветный, когда по Банк-Клиенту платежку с налогами в банк не отослать), о финансовых рисках.

 

Мало кого цепляют такие рассказы. Хоть в личной беседе, хоть в докладах-презентациях на банковских выставках и конференциях.

 

Даже когда после доклада представители ЦБ РФ в президиуме подтверждают мегаактуальность темы.

 

Но когда на банк пошел DDoS, и банк как беспомощный котенок не знает что происходит, почему недоступен Интернет, почему всё не работает - вот тогда идет эскалация проблемы от IT-департамента до руководства банка, тогда уже зампреды подключаются к вопросам, и уже тогда появляются минимально разумные бюджеты на услуги и даже на покупку решений.

 

Такова текущая ситуация.

 

 

[Tima]

"Пока гром не грянет, мужик не перекрестится" :)

[vIv]

Ждём, когда же продавцы DDoS защит научатся организовывать DDoS атаки на будущих клиентов?

[Tau]

Качество вполне соответствует той цене, что вы в своем Липецке платите.

При чем тут Липетск, когда я говорю про Москву?

[xrt_nn]

Исключительно теоретический вопрос: Ну продали услугу по защите от ддос, а он (ддос) оказался несколько больше чем планировалось, и сервисы банка, таки, оказались недоступны. Готовы ли продавцы сервиса защиты возместить потери?

[s.lobanov]

Ну так продают защиту от ддоса в 10, 100, 1000 мбит, т.е. если возникла атака боль`шей полосы, то это уже не входит в договор.

[Dimitry_Repan]

Ну так продают защиту от ддоса в 10, 100, 1000 мбит, т.е. если возникла атака боль`шей полосы, то это уже не входит в договор.

Пару слов о ценовой политике на услуги защиты от DDoS-атак.

 

В долгосрочной перспективе (а с корпорэйтом в лице банков по-другому работать недальновидно) единственно верная стратегия - честное и прозрачное для заказчика ценообразование на сервис защиты от DDoS-атак.

 

IMHO, итоговая стоимость должна складываться из трех составляющих:

1. Стоимость входящего трафика

2. Стоимость непосредственно самого сервиса очистки трафика (ресурсы оборудования, админов и пр.)

3. Стоимость доставки очищенного трафика до заказчика

 

Если заказчик хочет сам своим оборудованием чистить трафик, то пункт "2" - это стоимость размещения оборудования заказчика в датацентре провайдера + стоимость задействования инфраструктуры провайдера (ну там аренда пары 10GbE портов для очищаемого трафика, отдельный 100Mb порт под управление, нужное кол-во виртуальных роутеров и т.д.).

 

Стоимость входящего трафика - средняя по рынку операторская цена на IP по схеме burstable 5% с предоплаченной полосой ХХ...YYY Mb.

 

По-умолчанию должно быть ограничение сверху дабы клиент не попал на большие расходы за полосу при DDoS'е. Как правило - 1GbE, 2GbE или по согласованию с клиентом.

 

При превышении - трафик без разбору режется оператором за свой счет, но при этом DDoS-атака достигает своей цели - ресурс/канал становится недоступным/перегруженным.

 

Все пороги, а также типы DDoS-атак, от которых осуществляется защита, обязательно должны быть четко и подробно указаны в Договоре.

 

Доставка очищенного трафика до клиента - через L3VPN или, что лучше, через L2VPN. Цены - опять же средне-рыночные за flat-rate.

 

Как бюджетный вариант - отдача очищенного трафика на порту оператора на межоператорской площадке типа М9 дабы клиент сам (силами своего провайдера через уже проложенное к клиенту волокно) мог забрать очищенный трафик.

 

Выглядит всё логично, понятно и убедительно. Банки такой подход приемлют.

[kostich]

Ну так продают защиту от ддоса в 10, 100, 1000 мбит, т.е. если возникла атака боль`шей полосы, то это уже не входит в договор.

у нас в конторе так не продают :)

 

 

 

Выглядит всё логично, понятно и убедительно. Банки такой подход приемлют.

банки объявляют тендеры, в которых принимают участие какие-то люди, которые всего с двумя гигами транзита и ни разу в жизни еще не нульраутили (но какая-то железка для защиты есть)... которые пишут им в предложении ЗАЩИЩАЕМ ОТ 50Гб... а нормальные ребята, которые эти банки эпизодически УЖЕ спасали (я сейчас про свою контору), не пишут какую либо информацию о гарантиях... кого выберет БАНК?

Изменено 28 июля, 2010 пользователем kostich

[kostich]

Но когда на банк пошел DDoS, и банк как беспомощный котенок не знает что происходит, почему недоступен Интернет, почему всё не работает - вот тогда идет эскалация проблемы от IT-департамента до руководства банка, тогда уже зампреды подключаются к вопросам, и уже тогда появляются минимально разумные бюджеты на услуги и даже на покупку решений.

 

Такова текущая ситуация.

Текущая ситуация такая, что шел на какой-то там банк синфлуд с четко выраженной сигнатурой (пример win 14370 в tcp пакете или подобное), банку в итоге впарили решение и защитили от этой напасти. Что будет делать банк, если на него пойдут валидные син-ы без какой либо сигнатуры, само собой с подделкой адреса отправителя? Почему за этот год валидными син-ами атакуют только зарубежные ресурсы, а ресурсы в РФ атакуют син-ами с ЯВНО ВЫРАЖЕННОЙ сигнатурой? Конечно же не у всех есть возможность отфильтровать даже 500kpps этих син пакетов с выраженной сигнатурой, но тем не менее создается впечатление что у нас самые тупые DDOS-еры в стране. Не верю! :)

 

 

[kostich]

Рассказываем о рисках - рисках операционной недоступности (недоступен Интернет-Банкинг, почта, удаленные офисы по L3VPN), об имиджевых рисках (юрики вой подымают несусветный, когда по Банк-Клиенту платежку с налогами в банк не отослать), о финансовых рисках.

Дмитрий, давайте поговорим о причинах? Плохие парни аккумулируют определенное кол-во сертификатов клиентов конкретного банка, к концу недели запускают процесс хищения денег у клиентов банка и ДДОС на инфраструктуру банка для заметания следов.... в начале следующей недели атаку на банк снимают, так же как и сливки образовавшиеся в результате мероприятия. Если банк в состоянии быстро отследить этот фрод и сократить успешность этой процедуры до минимума, то надобность DDOSить банк и производить массовое хищение денег в таких массштабах отпадет.

 

Каких либо других мотивов DDOSить произвольный банк на сегодняшний день мы не знаем... для любого DDOS-ера это максимальный риск, т.к.:

 

- БАНК будет "лежать" и фиксировать ущерб,

- БАНК пойдет во всевозможные силовые структуры с соответсвующими заявлениями,

- БАНК зарядит своё СБ со всеми связями,

- если его найдут, то самой радостью будет решение вопроса в рамках правового поля.

 

В итоге банк страдает имиджево, а его клиенты страдают финансово. Клиенты идут к силовикам и процедура экспертизы системных блоков затягивается, в частности речь идет о месте куда вредонос передал сертификат. Если экспертиза чудом установила передачу сертификата на сервер в другой стране, то наши силовики разводят руками. Банкам IMHO надо разрабатывать антифродовые процедуры для клиентов Интернет-Банкинга, которые бы работали в рамках менее рисковых каналов связи. Согласно договору с банком за сертификат отвечает конкретный клиент.

 

ps. зачем банкам DDOS защита?

 

 

 

 

[qwertzy]

ps. зачем банкам DDOS защита?

Есть такое понятие как нечестная конкуренция, а с учётом того, что банки кому то принадлежат и занимаються не только лицевыми счетами мелких юриков и физиков, то конкурировать они могут и вне банковской сферы.

[bifit]

Дмитрий, давайте поговорим о причинах?

Дабы снять вопросы о компетенции я представлюсь - Репан Димитрий, компания "БИФИТ", российский разработчик системы электронного банкинга "iBank2", промышленно эксплуатируемая в более 750 российских банках и филиалах. Подробнее - на www.bifit.com

 

Плохие парни аккумулируют определенное кол-во сертификатов клиентов конкретного банка, к концу недели запускают процесс хищения денег у клиентов банка и ДДОС на инфраструктуру банка для заметания следов....

Из реальной практики хищений:

 

Злоумышленники редко выжидают - стырили файл с секретным ключом ЭЦП, в этот же день посмотрели выписки и если есть приличные финансы на счете - в этот же день направили в банк платежку с корректной ЭЦП клиента, сформированной с использованием похищенного файла с секретным ключом ЭЦП клиента.

 

Информация из первоисточников - банки часто присылают логи для консультаций. Все действия злоумышлнников видны четко. День недели значения не имеет. Чаще хищения делаются в начале или посредине недели, дабы завтра деньги уже были списаны, переведены на нужные реквизиты и в этот же день сняты кешем из кассы, с банкомата или далее слиты на одноразовую помойку.

 

в начале следующей недели атаку на банк снимают, так же как и сливки образовавшиеся в результате мероприятия.

 

Рассуждения о DDoS'е на выходных - из области домыслов или совсем редких инцидентов. Мы консолидируем информацию об инцидентах с большого количества банков.

 

Если банк в состоянии быстро отследить этот фрод и сократить успешность этой процедуры до минимума, то надобность DDOSить банк и производить массовое хищение денег в таких массштабах отпадет.

Спешу расстроить - банков, реально выстроивших фрод-мониторинг электронных платежей, пришедших по системам Банк-Клиент и Интернет-Банкинг - единицы.

 

Чаще - поделки на коленках. И то по инициативе IT-департамента и активных безопасников. Но пусть хоть что-то, чем вообще ничего.

 

Далее. Банки сами редко вылавливают фродовые документы. Но вылавливают. Чаще всё-таки пропускают фродовые платежи. И о хищении сообщает клиент через неделю после инцидента, посмотрев свою выписку.

 

DDoS запускается сразу же после доставки в банк фродовой платежки. Цель - не позволить пострадавшему юрику вовремя обнаружить фродовый платеж и оперативно тормознуть списание денег. Были даже случаи, когда банк DDoS'или не только по Интернету, но и по телефону - юрики не могли дозвониться до банка.

 

- БАНК пойдет во всевозможные силовые структуры с соответствующими заявлениями,

И что дальше? Вы лично общались с представителями того же ДЭБа МВД РФ по данному вопросу? Меньше 30млн.? Не наш случай! Больше 30млн. руб.? А зачем нам этот геморрой?

 

Или Вы ФСБ имеете в виду? Так у тех только вопросы национальной безопасности, защита конституционного строя и борьба с терроризмом!

 

Или Вы под силовиками подразумеваете рядового следователя или опера из УВД?

 

- БАНК зарядит своё СБ со всеми связями

Боевиков насмотрелись. Нету у банков действенных инструментов. И связи никакие. Или ОЧЕНЬ мало таких крутых банков. Не делайте из СБ банков спецназ ГРУ или АНБ.

 

- если его найдут, то самой радостью будет решение вопроса в рамках правового поля.

Игрался я в эти войнушки. Именно по техническому направлению, а не по пути движения денег. Все знания разработчика, помноженные на знания оператора и дополненные неограниченным админресурсом силовиков (мог требовать любую инфу с любого оператора).

 

И ничего не получилось. Платежку отправляли с ноутбука, подключенного по Wi-Fi с гостевым фришным акаунтом. И видеозаписи с камер этой закусочной не сохранилось.

 

Удалось у оператора получить только MAC Wi-Fi-карты ноута. Ни действующего СОРМа, ни netflow-архивов у оператора не оказалось ибо не крупный был.

 

Была надежда этот MAC выловить через других операторов - ну мало ли тупанул молодняк и с этого ноута через уже платный Wi-Fi других операторов со своим аккаунтом слазил в Инет. Но вышел облом-с - не нашли в логах других операторов такого МАСа.

 

Механизма Fingerprint, собирающего с компа клиента более сотни параметров, в той строй версии iBank'а еще не было. Так что ноут идентифицировать со стопроцентной вероятностью было практически невозможно.

 

В общем найти злоумышленника по IP-направлению - сложновато на практике. Легче и правильнее идти по пути движения денег.

 

Клиенты идут к силовикам и процедура экспертизы системных блоков затягивается, в частности речь идет о месте куда вредонос передал сертификат.

Опять теория :)

 

Кстати, последние инциденты - это отправка в банк платежки с рабочего компьютера юрика с использованием трояна со встроенным RAdmin'ом. То есть хищение в онлайне. Прям из консольной сессии. Даже один из клиентов застукал процесс удаленной работы злоумышленника, случайно подойдя к своему компу и взглянув на монитор. И тем самым спасся от хищения.

 

В общем в чисто образовательных целях тему хищений могу рассказывать долго и подробно. Но главный вывод - операторам надо идти навстречу своим банкам-заказчикам и с пониманием относиться к просьбам защиты каналов и приложений от DDoS-атак, к организации L2VPN, к размещению железок банков на площадках операторов с подключением по 1GbE или 10GbE.

 

Операторам надо пользоваться сложившейся конъюктурой. На войне ведь что самое главное - деньги зарабатывать :)

 

Мы сейчас нашим банкам и железки поставляем (Radware DefensePro и Arbor Peakflow SP), и интеграцию Интернет-Банкинга с этими решениями делаем, и даже в рамках техподдержки нашего ПО iBank2 бесплатно предоставляем услуги по защите от DDoS-атак. Но при этом с ограниченным SLA.

 

А кому услуги за деньги - там уже пороги существенно повыше. Но весь Интернет не чистим - только iBank2. При этом чистим тонко, без потери легитимного трафика.

 

А если что-то еще защищаем, то обязательно конкретика - какие сервисы, от каких DDoS-атак. Иначе - профанация защиты.

 

Изменено 29 июля, 2010 пользователем bifit

[Janus]

Качество вполне соответствует той цене, что вы в своем Липецке платите.

При чем тут Липетск, когда я говорю про Москву?

Хорошо. Допустим что я погорячился и не въехал ваши географические предпочтения.

Огласите ценник в первопристольной и перечислите проблемы с качеством.

 

[Гость doctorsoul (автор материала)]

для bifit - Дмитрий, Вы так заразительно рассказываете, хотелось бы уточнить пару моментов. Напишите мне, пожалуйста, на mb###viem.ru

[Tau]

Огласите ценник в первопристольной и перечислите проблемы с качеством.

Ценник сопоставим с Совинтеловским.

Из последнего - 21.07.2010, 10 часов простоя. И это не гавно?

 

[Janus]

Огласите ценник в первопристольной и перечислите проблемы с качеством.

Ценник сопоставим с Совинтеловским.

Из последнего - 21.07.2010, 10 часов простоя. И это не гавно?

Нет. Это не просто гавно, а еще и засахарилось! ;)

И давно такая беда или только после покупки их мегавном?

[kostich]

Дабы снять вопросы о компетенции я представлюсь - Репан Димитрий, компания "БИФИТ", российский разработчик системы электронного банкинга "iBank2", промышленно эксплуатируемая в более 750 российских банках и филиалах. Подробнее - на www.bifit.com

Очень приятно.

 

Рассуждения о DDoS'е на выходных - из области домыслов или совсем редких инцидентов. Мы консолидируем информацию об инцидентах с большого количества банков.

Димитрий, Вы, простите и заранее за тон извините, рассуждаете о DDOSе, так же как и о защите, пока еще в ТЕОРИИ. Все DDOS-ы на банки, про которые знаю, начинались в конце недели... назовите мне хоть один банк DDOS на который начинался раньше. Хоть один можете назвать?

 

Спешу расстроить - банков, реально выстроивших фрод-мониторинг электронных платежей, пришедших по системам Банк-Клиент и Интернет-Банкинг - единицы.

Чаще - поделки на коленках. И то по инициативе IT-департамента и активных безопасников. Но пусть хоть что-то, чем вообще ничего.

оно работает.

 

DDoS запускается сразу же после доставки в банк фродовой платежки. Цель - не позволить пострадавшему юрику вовремя обнаружить фродовый платеж и оперативно тормознуть списание денег. Были даже случаи, когда банк DDoS'или не только по Интернету, но и по телефону - юрики не могли дозвониться до банка.

Димитрий, ради одного юрика ддосить банк? Назовите хоть один банк, который ддосили ради одного юрика.

 

И что дальше? Вы лично общались с представителями того же ДЭБа МВД РФ по данному вопросу? Меньше 30млн.? Не наш случай! Больше 30млн. руб.? А зачем нам этот геморрой?

Причем тут ДЭБ?

 

- БАНК зарядит своё СБ со всеми связями

Боевиков насмотрелись. Нету у банков действенных инструментов. И связи никакие. Или ОЧЕНЬ мало таких крутых банков. Не делайте из СБ банков спецназ ГРУ или АНБ.

Вы в каком-то другом мире живете... обратите внимание на то как они кредиты себе возвращают... не то что сценарии 90тых, но снимать кино про это уже можно.

 

Игрался я в эти войнушки. Именно по техническому направлению, а не по пути движения денег. Все знания разработчика, помноженные на знания оператора и дополненные неограниченным админресурсом силовиков (мог требовать любую инфу с любого оператора).

 

И ничего не получилось. Платежку отправляли с ноутбука, подключенного по Wi-Fi с гостевым фришным акаунтом. И видеозаписи с камер этой закусочной не сохранилось.

В этой сфере, как Вы уже поняли, силовики не умеют идти к человеку от преступления... т.е. исключительно от преступления к человеку. Когда есть конкретный человек, то следствие идёт в разы быстрее. Думаете сложно найти конкретного человека? Полгода или год это не срок, даже два года не срок. Всех в поиске кого мы принимали участие нашли... кого-то даже посадили. Кстати, обратите внимание на наших партнеров - group-ib.ru .. думаю про них то Вы знаете. Услугу DDOS защиты, по их проектам, предоставляла и предоставляет наша фирма.

 

Мы сейчас нашим банкам и железки поставляем (Radware DefensePro и Arbor Peakflow SP), и интеграцию Интернет-Банкинга с этими решениями делаем, и даже в рамках техподдержки нашего ПО iBank2 бесплатно предоставляем услуги по защите от DDoS-атак. Но при этом с ограниченным SLA.

мне почему-то не верится в работоспособность всего этого :)

 

А кому услуги за деньги - там уже пороги существенно повыше. Но весь Интернет не чистим - только iBank2. При этом чистим тонко, без потери легитимного трафика.

для чистки трафика к своему софту не нужны какие либо арборы и радвары...

Изменено 29 июля, 2010 пользователем kostich

[kostich]

Если бы я был акционером банка купившего Arbor Peakflow SP, то я бы на ближайшем собрании поставил бы вопрос о казни всего штата принимавшего в этом участие. Зачем вы им их продаете?

 

Изменено 29 июля, 2010 пользователем kostich

[bifit]

для чистки трафика к своему софту не нужны какие-либо арборы и радвары...

Возможно мы с DDoS-атаками разного типа и масштаба сталкивались.

 

Сервер с двухсокетным Xeon 5670 и сетевым чипом Intel 82576 под оттюнингованным Linux'ом с раскладыванием всех очередей по всем ядрам умирает уже при SYN-флуде в 1Mpps.

 

А в 1GbE порт вливается в полтора раза больше - 1,488 Mpps.

 

Если поставите сетевую карту с 10GbE на сетевом чипсете Intel 82599 - то максимум удается влить в такой порт не более 1,8Mpps. А физический предел 10GbE порта - 14,88 Mpps.

 

И ничего чисто софтверными решениями Вы не сделаете для противодействия банальному сетевому флуду с большим Mpps.

 

Нужны хардварные решения на базе NPU и/или FPGA.

 

Именно поэтому для противодействия слабеньким DDoS-атакам у Arbor'а под TMS1200 используется обычный интеловский сервер с обычной интеловской сетевой картой, а вот для противодействия тяжелым DDoS-атакам предлагается тяжелые Arbor TMS 3000-е и 4000-е - уже хардварные решения.

 

 

Димитрий, Вы, простите и заранее за тон извините, рассуждаете о DDOSе, так же как и о защите, пока еще в ТЕОРИИ. Все DDOS-ы на банки, про которые знаю, начинались в конце недели... назовите мне хоть один банк DDOS на который начинался раньше. Хоть один можете назвать?

:)))

 

Конечно могу - см. http://www.bifit.com/ru/company/clients/index.html

 

По нашей далеко неполной статистике каждый третий банк, промышленно эксплуатирующий iBank2, как минимум один раз DDoS'или. Называть конкретные банки - не совсем этично по отношению к нашим заказчикам, но в июле несколько наших банков-заказчиков имели подобный секс посреди рабочей недели. А вот по выходным - даже не припомню такого.

 

Будучи клиентом (как юрик) Банка Москвы и ОТП-Банка, и работая как юрик с этими банками по iBank2, скажу - эти банки DDoS'или посреди рабочей недели, в разгар работы.

 

И такая же ситуация со всеми остальными нескольким сотням банков.

 

Димитрий, ради одного юрика ддосить банк? Назовите хоть один банк, который ддосили ради одного юрика.

Когда у юрика уплывает несколько яхт - дедосят ради одного такого юрика. И очень часто дедосят.

 

Кстати, обратите внимание на наших партнеров - group-ib.ru

Угу, давно обратили конечно. Вот их "предложения" банкам:

 

Спектр услуг включает:

 

- остановка инцидента и блокирование платежных поручений;

 

- юридически значимый сбор электронных доказательств по инциденту;

 

- исследование и юридически значимое оформление результатов исследования доказательств по инциденту;

 

- проведение компьютерно-технической экспертизы носителей информации;

 

- проведение аналитических работ по идентификации причастных к инциденту лиц и методов совершения инцидента;

 

- проведение анализа экземпляров вредоносного кода;

 

- расследование DDoS атак;

 

- юридическое сопровождение материалов в правоохранительных органах и в суде.

 

Договор может включать как реагирование на отдельный инцидент так и абонентское обслуживание организации.

 

Вчитайтесь, подумайте. Могу чисто из практики прокомментировать каждый пункт, но зачем?

 

Услугу DDOS защиты, по их проектам, предоставляла и предоставляет наша фирма.

В Вашем, kostich, профиле нет информации о Вашей организации. Можете представиться в форуме и подробно рассказать о Ваших услугах DDoS-защиты?

 

Я думаю, участники будут только ЗА.

 

И вообще мне очень нравится форум НАГа. Практически живое общение, разные мнения, присутствует компетентность.

 

мне почему-то не верится в работоспособность всего этого

с верой - это к Кураеву. А здесь только чистые знания, ну может быть предположения и ожидания :)

Изменено 29 июля, 2010 пользователем bifit

[bifit]

Если бы я был акционером банка купившего Arbor Peakflow SP, то я бы на ближайшем собрании поставил бы вопрос о казни всего штата принимавшего в этом участие. Зачем вы им их продаете?

Зря Вы так.

 

Это молодой неопытный бизнес мыслит только одной категорией - деньги.

 

А вот опытный, заметеревший бизнес мысли двумя категориями - деньги и риски. И всегда старается найти разумный баланс по каждому вопросу.

 

При всей своей дороговизне, решения компании Arbor Networks - объективно одни из действенных.

 

По устной информации в ближайшее время Arbor обещает представить новую коробку специально для корпорэйта по более умеренным ценам дабы и на этом сегменте рынка активно работать.

Изменено 29 июля, 2010 пользователем bifit

[kostich]

Возможно мы с DDoS-атаками разного типа и масштаба сталкивались.

вы еще пока теоретики на этом рынке. с самими шишками сталкивались именно мы, т.к. остальные тупо сливались или выставляли заград цену.

 

Сервер с двухсокетным Xeon 5670 и сетевым чипом Intel 82576 под оттюнингованным Linux'ом с раскладыванием всех очередей по всем ядрам умирает уже при SYN-флуде в 1Mpps.

ну поставьте их штук 10... всяко дешевле и ЛИКВИДНЕЕ арборов :)

 

И ничего чисто софтверными решениями Вы не сделаете для противодействия банальному сетевому флуду с большим Mpps.

Нужны хардварные решения на базе NPU и/или FPGA.

Мне виднее что я сделаю или не сделаю нашими решениями, в т.ч. и аппаратными. Если о птичках, то NPU и FPGA идут лесом при необходимости стейт контроля... посчитайте сколько 1,5mpps сожрут стейтов, потом посчитайте скорость работы с памятью, потом еще посчитайте... Вы сейчас на той стадии на которой я года три-четыре назад был.

 

Именно поэтому для противодействия слабеньким DDoS-атакам у Arbor'а под TMS1200 используется обычный интеловский сервер с обычной интеловской сетевой картой, а вот для противодействия тяжелым DDoS-атакам предлагается тяжелые Arbor TMS 3000-е и 4000-е - уже хардварные решения.

Причем тут TMS и Peakflow SP?

 

В Вашем, kostich, профиле нет информации о Вашей организации. Можете представиться в форуме и подробно рассказать о Ваших услугах DDoS-защиты?

я тут не от лица организации :)

 

с верой - это к Кураеву. А здесь только чистые знания, ну может быть предположения и ожидания :)

давайте про Ассист что ли... Касперский по слухам там тупо слился, отработали они в итоге на решении ТТК, вполне возможно в связке с каблами, выплывая на пиринговой структуре и гуардерах. и надо отдать должное ТТК реально там фильтрует, хотя за гуардерами надо и дофильтровывать, но это работает на школодосах и типовых атаках... пускай не всё, но это работало и положение спасло. конкретно мы отказались, т.к. нам без разницы какая там атака и важно только соблюдение наших требований, что не срослось. где были вы?

 

 

 

[kostich]

Зря Вы так.

Пикфлоу нужен для статы - раз, для нульраута предидосного клиента ISP - два. Зачем пикфлоу в банке с двумя-тремя пирами? Основная задача этой железки заключается в алярме инженерам обсулживающим многопировую сетку... потому что руками там искать очень долго, а дорогой сенсор это еще не только сенсор, а еще и пять кило полезной статистики для маркетоидов. ЗАЧЕМ ЭТО БАНКУ?

 

А вот опытный, заметеревший бизнес мысли двумя категориями - деньги и риски. И всегда старается найти разумный баланс по каждому вопросу.

заматеревший бизнес мыслит откатами. любой защищенный вами банк достаточно недорого могут привалить на месяц. когда грамотный заказчик выйдет на грамотных исполнителей, то будет всё лежать как часы.

 

По устной информации в ближайшее время Arbor обещает представить новую коробку специально для корпорэйта по более умеренным ценам дабы и на этом сегменте рынка активно работать.

давайте смотреть правде в глаза. если я завтра выпущу железку стоимостью 10к баксов, то послезавтра её купят все хостинги... и банки, и какой-то корпорейт. с руками и ногами оторвут. но на фоне моих выссказываний про то что всё в итоге упрется в каналы и пиринговую структуру многие от этой затеии откажутся и будут по прежнему пользоваться услугами специализированных фирм предоставляющих защиту от DDOS.