zurz Опубликовано 30 июля, 2010 · Жалоба Что значит нет смысла?то и значит - нет смысла. даже если вы защитите сервак с HTTP-сервером, найдётся хитрая жопа, которая заддосит DNS, находящийся вне зоны вашей ответственности, и, например, sbrf.ru внезапно перестанет открываться, а то и вовсе улетит в китай..."И чо?" (с) =) Капчи независимо от алгоритмов и оформления ломают биологические боты.про биологических - знаю. Но ведь для "внезапной" атаки их нужно будет от 200 штук, а то и от 1к. И ктото говорит что такая атака будет стоить $200? чтото я сильно сомневаюсь что 200 студентов согласятся вкалывать целые сутки за $1 каждый... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 30 июля, 2010 · Жалоба Что значит нет смысла?то и значит - нет смысла. даже если вы защитите сервак с HTTP-сервером, найдётся хитрая жопа, которая заддосит DNS, находящийся вне зоны вашей ответственности, и, например, sbrf.ru внезапно перестанет открываться, а то и вовсе улетит в китай..."И чо?" (с) =) Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба Наивно ходить голой по городу ночью, и надеяться что пьяные хулиганы не изнасилуют... Если она этим много зарабатывает и может позволить себе охрану то почему бы и нет? биологические ботыНе подскажешь, где про их технологию почитать можно? да первый фокус с каптчей заключался в отображении её на порно-сайтах... там это на халяву распознавалось и далее бот передавал значения. сейчас это всё эволюционировало до целых сервисов по распознаванию каптчи. там же картинки пробивают по базам + люди с порносайтов + какие-то свои люди распознающие каптчу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 30 июля, 2010 · Жалоба Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое.Как вы себе это представляете?Приходит к вам клиент, "защитите меня от ддоса сам незнаю как". А вы ему: "вот согласно прейскуранту, защита HTTP - $$$, защита DNS - $$$". Всё отлично. И начинаете работу по защите всех DNS-ов во всех ISP? Я себе это както слабо представляю, объясните plx, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба Зоны у nic.ru разместите и проблема с защитой DNS решена... на моей памяти там еще никто не страдал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба Но банку для тестирования предоставляли и Arbor, и Radware. Димитрий, а как банк может протестировать железку для защиты от DDOS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander Опубликовано 30 июля, 2010 · Жалоба Цитата(Alexander @ 30.7.2010, 11:56) *Цитата(vIv @ 30.7.2010, 2:33) * биологические боты Не подскажешь, где про их технологию почитать можно? да первый фокус с каптчей заключался в отображении её на порно-сайтах... да, я уже понял о чем речь :) даже свой вопрос попытался удалить, но до некоторых он все же дошел. anyway, спасибо за разъяснение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 30 июля, 2010 · Жалоба Зоны у nic.ru разместите и проблема с защитой DNS решена... на моей памяти там еще никто не страдал.я немного про другое. К примеру, клиентам выдаются автоматом 80.237.41.250 80.237.82.66что будет при попытке резолвинга адресов клиентами, в момент, когда эти днсы ддосятся? Да, разделение днсов с активными зонами и юзерских proxy-днсов это выход, но при этом proxy-днсы не должно быть видно снаружи, ведь так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 30 июля, 2010 · Жалоба вроде как единственное, что боты ещё не умеют - это капчу и жмаканье по флешовым кнопкам, не?Капчи независимо от алгоритмов и оформления ломают биологические боты. Технология проста, как гвоздь. 0,5 центов за клик Подсказать адресок? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба я немного про другое. так это не имеет ничего общего с атакой на конкретный домен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 30 июля, 2010 · Жалоба Неее, то, что могут задосить DNS не значит, что не надо защищать http. Это значит, что надо защищать и то и другое.Как вы себе это представляете?Приходит к вам клиент, "защитите меня от ддоса сам незнаю как". А вы ему: "вот согласно прейскуранту, защита HTTP - $$$, защита DNS - $$$". Всё отлично. И начинаете работу по защите всех DNS-ов во всех ISP? Я себе это както слабо представляю, объясните plx, Такой вариант возможен, кто-то мне предлагал просто по кол-ву сервисов. Защита dns'ов провайдеров не входит в мои обязанности, главное чтобы мой dns был доступен и выдавал правильную информацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 30 июля, 2010 · Жалоба так это не имеет ничего общего с атакой на конкретный домен. Не имеет. Но и сервиса при этом нет. Для ддосера валить одного или всех оптом - имхо принципиальной разницы нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба так это не имеет ничего общего с атакой на конкретный домен.Не имеет. Но и сервиса при этом нет. Для ддосера валить одного или всех оптом - имхо принципиальной разницы нет валилка не резиновая :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agp Опубликовано 30 июля, 2010 · Жалоба Но банку для тестирования предоставляли и Arbor, и Radware. Димитрий, а как банк может протестировать железку для защиты от DDOS? Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд). Банки логично склонны к недоверию, там фразой "кто хочет, тот знает" не отмахаетесь. Сначала по вашей личности будут нужные запросы сделаны, а уж потом ваше коммерческое предложение рассмотрено. Я за самостоятельную защиту, своих специалистов легче стимулировать. А то на словах все вы мега специалисты, но что-то штрафные санкции в договор никто прописывать не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 30 июля, 2010 · Жалоба валилка не резиновая :) вы своих клиентов также уговариваете? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 30 июля, 2010 · Жалоба Димитрий, а как банк может протестировать железку для защиты от DDOS? По проработанному и согласованному плану. Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует. Естественно тестировать можно и нужно в боевой среде на боевых приложениях в самое пиковое рабочее время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 30 июля, 2010 · Жалоба Капчи независимо от алгоритмов и оформления ломают биологические боты.про биологических - знаю. Но ведь для "внезапной" атаки их нужно будет от 200 штук, а то и от 1к. И ктото говорит что такая атака будет стоить $200? чтото я сильно сомневаюсь что 200 студентов согласятся вкалывать целые сутки за $1 каждый... даже бесплатно будут вкалывать, - миллионами погонных голов. выше уже описали, где и как Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 30 июля, 2010 · Жалоба martin74 А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней? А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче? forum.nag.ru в прошлом году.... Или не подойдет? Для вас только интернет банк является критичной задачей, а все остальное пусть валяется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 30 июля, 2010 · Жалоба Дмитрий, в направлении Defense Pro вы только с банками работаете? Димитрий, а как банк может протестировать железку для защиты от DDOS? По проработанному и согласованному плану. Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует. Естественно тестировать можно и нужно в боевой среде на боевых приложениях в самое пиковое рабочее время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 30 июля, 2010 · Жалоба martin74 А вы можете назвать серьёзный HTTP-сервис, который понесёт значительные убытки от "лежания" в течении 3х дней? А стоит ли полагаться на HTTP-транспорт в настолько критичной задаче? forum.nag.ru в прошлом году.... Или не подойдет? Для вас только интернет банк является критичной задачей, а все остальное пусть валяется? а какие убытки от лежания форума нага? может быть тогда уж shop.nag.ru?хотя отсутствие прибыли за период - это упущенная выгода, но не убытки, не путать тёплое с мягким. Имущество на складе вам никто не портит. Большинство атак на HTTP всё равно своей цели достигает, и будет достигать. Пока HTTP-запрос RFC2616 будет строиться из null-terminated строк, аппаратных решений не будет. Т.е. впереди гонка программного арсенала ддосеров и дедосеров. Что впрочем является очевидным профитом и для тех и для других, в проигрыше как всегда только клиент. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimitry_Repan Опубликовано 30 июля, 2010 (изменено) · Жалоба Дмитрий, в направлении Defense Pro вы только с банками работаете? Radware нас укатывает всем продавать - и банкам, и операторам, и корпорэйту - всем, кому сможем. Но если с банками нам проще - налаженные контакты, доверие, и самое главное - мы (БИФИТ) разработчик защищаемого приложения, то вот с другими отраслями нам сложнее. Ибо у нас нет никаких преимуществ, кроме, возможно, бОльшей компетенции и опыта. К расширению сферы деятельности я отношусь крайне осторожно. Превращаться в универсального интегратора, поставляющего всем и вся - точно не хочу. В тоже время технически БИФИТу ничто не мешает работать с любой организацией. Даже с государевой с гостайнами (у нас есть соответствующие лицензии ФСБ РФ). В принципе, описанная в личке Ваша, Андрей (aka chocholl), ситуация нетривиальна и даже интересна. Если у Вас есть желание и практическая необходимость - давайте попробуем поработать. Изменено 30 июля, 2010 пользователем Dimitry_Repan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Магистральник Опубликовано 30 июля, 2010 · Жалоба кстати, кто из операторов предлагает защиту от DDoS от Arbor? http://www.arbornetworks.com/ Росомахо, я думаю, всем про неё рассказывал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 (изменено) · Жалоба валилка не резиновая :)вы своих клиентов также уговариваете? =) самые памятные клиенты приходили когда уже все откурили... с 100% предоплатой и с нашей гарантией 100% манейбека в случае неудачи. ps. а вот смотрите как другие уговаривают: digilex.ru; tison.ru; ddosexpert.ru; ddos03.ru; rosinterline.ru; compn.ru и может быть еще какие-то сайты в итоге ведут к одному контактному лицу. зачем им столько офисов и телефонов? Изменено 31 июля, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 июля, 2010 · Жалоба Прорабатывается и согласовывается план тестирования. Описываются все типы и ТТХ тестируемых атак. Описывается ожидаемый результат. После этого оборудование передается банку и банк тестирует. Димитрий, а откуда у банка генераторы тестовых атак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 31 июля, 2010 · Жалоба Ну в идеале банк должен иметь специалиста по информационной безопасности, который должен или защищать свою организацию сам или быть достаточно квалифированным чтобы взаимодействовать с соответствующими организациями (бифитом, провайдерами, мвд). простите, но откуда у этого специалиста появится необходимый софт и железо? Банки логично склонны к недоверию, там фразой "кто хочет, тот знает" не отмахаетесь. Сначала по вашей личности будут нужные запросы сделаны, а уж потом ваше коммерческое предложение рассмотрено. ... полагаю там ответят что знают :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...