[zurz]

Что значит нет смысла?

то и значит - нет смысла. даже если вы защитите сервак с HTTP-сервером, найдётся хитрая жопа, которая заддосит DNS, находящийся вне зоны вашей ответственности, и, например, sbrf.ru внезапно перестанет открываться, а то и вовсе улетит в китай...

"И чо?" (с) =)

 

Капчи независимо от алгоритмов и оформления ломают биологические боты.

про биологических - знаю. Но ведь для "внезапной" атаки их нужно будет от 200 штук, а то и от 1к. И ктото говорит что такая атака будет стоить $200? чтото я сильно сомневаюсь что 200 студентов согласятся вкалывать целые сутки за $1 каждый...

[Agp]

Что значит нет смысла?

то и значит - нет смысла. даже если вы защитите сервак с HTTP-сервером, найдётся хитрая жопа, которая заддосит DNS, находящийся вне зоны вашей ответственности, и, например, sbrf.ru внезапно перестанет открываться, а то и вовсе улетит в китай...

"И чо?" (с) =)

Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое.

[kostich]

Наивно ходить голой по городу ночью, и надеяться что пьяные хулиганы не изнасилуют...

Если она этим много зарабатывает и может позволить себе охрану то почему бы и нет?

 

 

биологические боты

Не подскажешь, где про их технологию почитать можно?

да первый фокус с каптчей заключался в отображении её на порно-сайтах... там это на халяву распознавалось и далее бот передавал значения. сейчас это всё эволюционировало до целых сервисов по распознаванию каптчи. там же картинки пробивают по базам + люди с порносайтов + какие-то свои люди распознающие каптчу.

[zurz]

Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое.

Как вы себе это представляете?

Приходит к вам клиент, "защитите меня от ддоса сам незнаю как". А вы ему: "вот согласно прейскуранту, защита HTTP - $$$, защита DNS - $$$". Всё отлично.

И начинаете работу по защите всех DNS-ов во всех ISP? Я себе это както слабо представляю, объясните plx,

[kostich]

Зоны у nic.ru разместите и проблема с защитой DNS решена... на моей памяти там еще никто не страдал.

[kostich]

Но банку для тестирования предоставляли и Arbor, и Radware.

Димитрий, а как банк может протестировать железку для защиты от DDOS?

[Alexander]

Цитата(Alexander @ 30.7.2010, 11:56) *

Цитата(vIv @ 30.7.2010, 2:33) *

биологические боты

 

Не подскажешь, где про их технологию почитать можно?

 

 

да первый фокус с каптчей заключался в отображении её на порно-сайтах...

да, я уже понял о чем речь :) даже свой вопрос попытался удалить, но до некоторых он все же дошел. anyway, спасибо за разъяснение

[zurz]

Зоны у nic.ru разместите и проблема с защитой DNS решена... на моей памяти там еще никто не страдал.

я немного про другое. К примеру, клиентам выдаются автоматом 80.237.41.250 80.237.82.66

что будет при попытке резолвинга адресов клиентами, в момент, когда эти днсы ддосятся?

Да, разделение днсов с активными зонами и юзерских proxy-днсов это выход, но при этом proxy-днсы не должно быть видно снаружи, ведь так?

[Sonne]

вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?

Капчи независимо от алгоритмов и оформления ломают биологические боты. Технология проста, как гвоздь.

 

0,5 центов за клик

 

Подсказать адресок?

[kostich]

я немного про другое.

так это не имеет ничего общего с атакой на конкретный домен.

 

 

[Agp]

Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое.

Как вы себе это представляете?

Приходит к вам клиент, "защитите меня от ддоса сам незнаю как". А вы ему: "вот согласно прейскуранту, защита HTTP - $$$, защита DNS - $$$". Всё отлично.

И начинаете работу по защите всех DNS-ов во всех ISP? Я себе это както слабо представляю, объясните plx,

Такой вариант возможен, кто-то мне предлагал просто по кол-ву сервисов. Защита dns'ов провайдеров не входит в мои обязанности, главное чтобы мой dns был доступен и выдавал правильную информацию.

[zurz]

так это не имеет ничего общего с атакой на конкретный домен.

Не имеет. Но и сервиса при этом нет. Для ддосера валить одного или всех оптом - имхо принципиальной разницы нет

[kostich]

так это не имеет ничего общего с атакой на конкретный домен.

Не имеет. Но и сервиса при этом нет. Для ддосера валить одного или всех оптом - имхо принципиальной разницы нет

валилка не резиновая :)

 

[Agp]

Но банку для тестирования предоставляли и Arbor, и Radware.

Димитрий, а как банк может протестировать железку для защиты от DDOS?

Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд).

Банки логично склонны к недоверию, там фразой "кто хочет, тот знает" не отмахаетесь. Сначала по вашей личности будут нужные запросы сделаны, а уж потом ваше коммерческое предложение рассмотрено.

Я за самостоятельную защиту, своих специалистов легче стимулировать. А то на словах все вы мега специалисты, но что-то штрафные санкции в договор никто прописывать не хочет.

[zurz]

валилка не резиновая :)

вы своих клиентов также уговариваете? =)

[Dimitry_Repan]

Димитрий, а как банк может протестировать железку для защиты от DDOS?

По проработанному и согласованному плану.

 

Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует. Естественно тестировать можно и нужно в боевой среде на боевых приложениях в самое пиковое рабочее время.

[vIv]

Капчи независимо от алгоритмов и оформления ломают биологические боты.

про биологических - знаю. Но ведь для "внезапной" атаки их нужно будет от 200 штук, а то и от 1к. И ктото говорит что такая атака будет стоить $200? чтото я сильно сомневаюсь что 200 студентов согласятся вкалывать целые сутки за $1 каждый...

даже бесплатно будут вкалывать, - миллионами погонных голов. выше уже описали, где и как

[martin74]

martin74

А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней?

А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче?

forum.nag.ru в прошлом году.... Или не подойдет? Для вас только интернет банк является критичной задачей, а все остальное пусть валяется?

[chocholl]

Дмитрий, в направлении Defense Pro вы только с банками работаете?

 

 

Димитрий, а как банк может протестировать железку для защиты от DDOS?

По проработанному и согласованному плану.

 

Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует. Естественно тестировать можно и нужно в боевой среде на боевых приложениях в самое пиковое рабочее время.

[zurz]

martin74

А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней?

А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче?

forum.nag.ru в прошлом году.... Или не подойдет? Для вас только интернет банк является критичной задачей, а все остальное пусть валяется?

а какие убытки от лежания форума нага? может быть тогда уж shop.nag.ru?

хотя отсутствие прибыли за период - это упущенная выгода, но не убытки, не путать тёплое с мягким. Имущество на складе вам никто не портит.

 

Большинство атак на HTTP всё равно своей цели достигает, и будет достигать.

Пока HTTP-запрос RFC2616 будет строиться из null-terminated строк, аппаратных решений не будет. Т.е. впереди гонка программного арсенала ддосеров и дедосеров. Что впрочем является очевидным профитом и для тех и для других, в проигрыше как всегда только клиент. ;-)

[Dimitry_Repan]

Дмитрий, в направлении Defense Pro вы только с банками работаете?

Radware нас укатывает всем продавать - и банкам, и операторам, и корпорэйту - всем, кому сможем.

 

Но если с банками нам проще - налаженные контакты, доверие, и самое главное - мы (БИФИТ) разработчик защищаемого приложения, то вот с другими отраслями нам сложнее.

 

Ибо у нас нет никаких преимуществ, кроме, возможно, бОльшей компетенции и опыта.

 

К расширению сферы деятельности я отношусь крайне осторожно. Превращаться в универсального интегратора, поставляющего всем и вся - точно не хочу.

 

В тоже время технически БИФИТу ничто не мешает работать с любой организацией. Даже с государевой с гостайнами (у нас есть соответствующие лицензии ФСБ РФ).

 

В принципе, описанная в личке Ваша, Андрей (aka chocholl), ситуация нетривиальна и даже интересна. Если у Вас есть желание и практическая необходимость - давайте попробуем поработать.

Изменено 30 июля, 2010 пользователем Dimitry_Repan

[Магистральник]

кстати, кто из операторов предлагает защиту от DDoS от Arbor?

http://www.arbornetworks.com/

Росомахо, я думаю, всем про неё рассказывал?

 

[kostich]

валилка не резиновая :)

вы своих клиентов также уговариваете? =)

самые памятные клиенты приходили когда уже все откурили... с 100% предоплатой и с нашей гарантией 100% манейбека в случае неудачи.

 

ps. а вот смотрите как другие уговаривают: digilex.ru; tison.ru; ddosexpert.ru; ddos03.ru; rosinterline.ru; compn.ru и может быть еще какие-то сайты в итоге ведут к одному контактному лицу. зачем им столько офисов и телефонов?

Изменено 31 июля, 2010 пользователем kostich

[kostich]

Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует.

Димитрий, а откуда у банка генераторы тестовых атак?

[kostich]

Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд).

простите, но откуда у этого специалиста появится необходимый софт и железо?

 

Банки логично склонны к недоверию, там фразой "кто хочет, тот знает" не отмахаетесь. Сначала по вашей личности будут нужные запросы сделаны, а уж потом ваше коммерческое предложение рассмотрено.

... полагаю там ответят что знают :)