Перейти к содержимому
Калькуляторы

«Синтерра»: "Качественный DDoS - угроза национальной безопасности

Атака на https-ресурс с использованием абсолютно нормального SSL-хендшекинга может быть остановлена двумя путями:

- поведенческая защита

- защита на уровне приложения

 

В основе поведенческой защиты должны быть: глубокая инспекция пакетов вплоть до 7-го уровня (Deep Packet Inspection), накопление и анализ статистики конкретно для этого HTTPS-ресурса, обучение и адаптивное построение многомерной модели распределения трафика для штатных условий работы данного HTTPS-ресурса, выявление ботов на основе отклонений и аномалий с последующим блокированием нелегитимного трафика методом динамической фильтрации сетевых пакетов и автоматической генерацией сигнатур в реальном времени (сигнатуры нулевой минуты).

 

В процессе подавления прикладной DDoS-атаки механизм поведенческой защиты должен отслеживает количественные и качественные параметры трафика и при снижении сетевой активности ниже критических порогов снимать динамические фильтры и деактивирует ранее сгенерированные динамические сигнатуры.

 

В принципе похожие механизмы поведенческой защиты в том или ином виде реализованы в подавляющем большинстве промышленных решений. Только выхлоп не всегда получается эффективным - либо DDoS-защита пропускает много нелегитимного трафика, либо режет слишком много легитимного.

 

Именно поэтому основное направление защиты приложений от прикладных DDoS-атак - это встраивание непосредственно в решения механизмов DDoS-защиты. В основе таких встроенных механизмов - аутентификация клиента дабы отделить ботов от легитимных пользователей.

 

Насколько успешно удастся малой кровью прямо или косвенно аутентифицировать клиента - настолько и будет эффективной прикладная DDoS-защита.

 

 

 

 

Изменено пользователем Dimitry_Repan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне кажется большая часть интернет-банкинга тупо завалится и будет лежать. есть такая 100%тная уверенность... не смотря на то что над системой защиты работали лучшие умы и ввалено 70 млн. руб. или вот железки по 187k$.
+1

ввалено->освоено

железки->маркетинг

 

но на сегодняшний день я склоняюсь к тому что какие бы коробки не стояли у клиента, как бы они качественно ему не чистили трафик, а все в итоге упрется в оплату канала загаженного дидосным трафиком.

кто-то плохой трафик не считает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kostich, ну что за детсад с любовью к софтовым решениям.

 

Ну не вытяните Вы никакой 10-гигабитной сетевой карточкой 14,8 Mpps. Максимум - 3 Mpps. Как бы Вы фирмваре и драйвера этой карты не перерабатывали.

а где я утверждал что я вытяну одной карточкой? на эти деньги можно собрать ферму из хороших ликвидных серверов, разбалансить трафик на хорошем свиче и радоваться жизни. если мало одной писюковой коробки, то надо ставить две... если мало двух, то можно и десять поставить. всяко ликвиднее и дешевле. Вы же сами говорите что максимум это 3... пускай даже 1mpps... 14 серверов и свич для балансинга всяко дешевле чем 187k$.

А каким образом вы балансинг на хорошем свиче делаете? Что это за хороший свитч?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В начале мая мы договорились Синтеррой о предоставление услуг по защите от DDOS - Подробнее здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А каким образом вы балансинг на хорошем свиче делаете? Что это за хороший свитч?

ну есть же ospf, bgp и т.д. :) а давным давно, когда циска еще не задумала выкинуть wccp из свича, можно было раскидывать по wccp. уже много лет практически во все фермы леплю такой балансинг.

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А каким образом вы балансинг на хорошем свиче делаете? Что это за хороший свитч?

ну есть же ospf, bgp и т.д. :) а давным давно, когда циска еще не задумала выкинуть wccp из свича, можно было раскидывать по wccp. уже много лет практически во все фермы леплю такой балансинг.

не ясно как ospf, ... помогает разруливать трафик, вы что на серверах динамический роутинг поднимаете?

что за модель, иос, пример конфига если можно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну есть же ospf, bgp и т.д.

Или я совсем валенок, или Вы, kostich, мягко говоря ошибаетесь.

 

Каким это образом тот же C4900M (L3-свич) с поддержкой ospf или bgp сможет равномерно раскидать синфлуд-пакеты со спуфингом по серверам?!

 

А если попрет с ботнета SYN-флуд с подсетки, которая вся заводится Вашим свичом-балансером на единственный сервер из фермы? И если это будет 4Gbps (5Mpps) синфлуда?

 

а давным давно, когда циска еще не задумала выкинуть wccp из свича, можно было раскидывать по wccp.

Ну и каким образом применим Web Cache Control Protocol (wccp) для балансировки SYN-пакетов, поступающих на один 10GbE-порт свича, и сортирующиеся свичом между несколькими серверами фермы?!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каким это образом тот же C4900M (L3-свич) с поддержкой ospf или bgp сможет равномерно раскидать синфлуд-пакеты со спуфингом по серверам?!

какая разница со спуфингом пакеты или нет? прораучивается всё согласно таблице и размазывается согласно красивым картинкам с сайта циски :)

 

А если попрет с ботнета SYN-флуд с подсетки, которая вся заводится Вашим свичом-балансером на единственный сервер из фермы? И если это будет 4Gbps (5Mpps) синфлуда?

а если один флоу будет толще чем свободная полоса в одной из двух десяток у магистрала? с таким успехом можно до угодно чего домедитировать. для этого придумали попакетную балансировку.

 

Ну и каким образом применим Web Cache Control Protocol (wccp) для балансировки SYN-пакетов, поступающих на один 10GbE-порт свича, и сортирующиеся свичом между несколькими серверами фермы?!

вот особенно про это на циске подробно нарисовано. они даже предлагали это где-то для балансинга smtp трафика. для http/https несколько раз применял такую схему и работало как часы. фул пакет рейт балансиг получался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я вот тоже не пойму в чем проблема балансировку сделать... это же основы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кто-то плохой трафик не считает ...

мы тоже плохой трафик не считаем. если делать тарифные планы согласно размеру атаки, то ддосеры будут лупить сразу на максимальный. сейчас вот даже если ддосеры знают про бёрст в конкретном пире, то стараются подгрузить на полосу. клиент один очень долго защищался самостоятельно, но потом ему атаку продержали на пару дней дольше... и кирдык.

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблема делать адаптивную равномерную балансировку.

 

Да так, чтобы больше 1Mpps на один сервер с 10GbE линком синфлуда не шло ибо приходящий трафик серверу надо еще обрабатывать и отсылать дальше.

 

И для потоков, оказавшихся не синфлудом, а нормальной легитимной TCP-сессией все дальнейшие пакетики также проталкивать свичом-балансером на тот же сервер, куда первый SYN пришел.

 

Да, самое главное - надо чтобы SYN-пакеты от легитимных юзеров не пропадали из-за спонтанно возникающего узкого горлышка иначе будет вой от клиентов (это я на примере Интернет-Банкинга хорошо знаю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблема делать адаптивную равномерную балансировку.

там алгоритмы без всякой адаптивности обеспечивают равномерную балансировку :)

 

 

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отправил kostich

там алгоритмы без всякой адаптивности обеспечивают равномерную балансировку :)

Kostich, дабы не быть голословным и подтвердить жизнеспособность Вашего подхода, поделитесь, пожалуйста, опытом о балансировке трафика на свичах дабы раскидывать сетевой флуд в 14Mpps на два десятка серверов с 1Gbps и 1Mpps.

 

На любом конкретном примере с любым конкретным свичом и приведением конфигурационных файлов.

 

Всё, что сочтёте нужным. Так можно будет понять о чем Вы рассказываете.

Изменено пользователем bifit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Kostich, дабы не быть голословным и подтвердить жизнеспособность Вашего подхода, поделитесь, пожалуйста, опытом...

ну radware же не делится алгоритмами...

 

Так можно будет понять о чем Вы рассказываете.

про оспф и бгп балансинг с лоад шарингом рассказываю. или гуру сказали что через один свитч более чем на 8 серверов не пропихнуть? так можно с двух :) это еще и к тому, что в банк уже имеющий маршрутизатор умудряются продавать и лоад балансер.

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дима! Я вам завтра позвоню и предложу новый вид защиты iBank'а. Ваша проблема в том, что ключи воруют разными способами.

Все ваши старания на создание и продвижение ibank2.ru будут не нужны.

 

Обсуждение с kostich'ем его методы защиты тщетны. Не расскажет. Должны понимать почему. Думаю опыт у него огромный.

 

Изменить надо ваш подход к iBank'у.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каким это образом тот же C4900M (L3-свич) с поддержкой ospf или bgp сможет равномерно раскидать синфлуд-пакеты со спуфингом по серверам?!

какая разница со спуфингом пакеты или нет? прораучивается всё согласно таблице и размазывается согласно красивым картинкам с сайта циски :)

Можно поподробнее, как Cisco по таблице размажет на 14 серверов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну radware же не делится алгоритмами...
Так у Вас, kostich, всегда и во всех форумах - как доходит до дела, до конкретики, то сразу голову в песок: "Знаем, умеем, можем, но не скажем как. Верьте на слово."

 

Kostich, ИМХО, успешные продажи через технарей требуют демонстрации компетенции.

 

Не рекламных слоганов и чувственных уверений в мегазащищенности, а честного раскрытии ключевых технических моментов.

 

Только тогда к Вам и Вашим услугам возникает ДОВЕРИЕ, возникают ожидания, что предлагаемый Вами сервис будет действительно соответствовать заявленным ТТХ.

 

Дима! Я вам завтра позвоню и предложу новый вид защиты iBank'а. Ваша проблема в том, что ключи воруют разными способами.
mng, Вы бы представились, что-ли.

 

Что касается проблемы кражи секретных ключей ЭЦП клиентов.

 

Секретные ключи ЭЦП клиентов воруют только когда МОЖНО воровать (копировать).

 

Данная проблема характерна для файловых хранилищ, а также для девайсов, использующихся как файловые хранилища, отдающие в мир по пин-коду файл с секретным ключом ЭЦП клиента.

 

Радикальное решение - отсутствия доступа на чтение к секретному ключу ЭЦП клиента. То есть хардварный девайс, внутри которого секретный ключ ЭЦП клиента генерируется, хранится в защищенной памяти и никогда никем не может быть считан из сего девайса.

 

Тогда ключ своровать (скопировать) нельзя в принципе.

 

Но если у Вас, mng, есть конструктивные предложения по противодействию хищениям - приму с благодарностью. Звоните в любое время.

 

Решение с неизвлекаемыми ключами ЭЦП клиентов БИФИТ поставляет банкам уже два года.

 

В виде USB-токенов и смарт-карт.

 

Со встроенным в эти девайсы средством криптографической защиты информации, реализующее российские ГОСТы на криптоалгоритмы, и имеющее сертификат ФСБ РФ на соответствие классу КС2.

 

Устройства называются персональные аппаратные криптопровайдеры "iBank2Key".

 

За два года мы поставили банкам больше 250 тысяч штук в виде USB-токенов и смарт-карт.

 

И ни одного инцидента после этого с хищениями секретных ключей ЭЦП клиентов не было.

 

Все ваши старания на создание и продвижение ibank2.ru будут не нужны.

mng, возникшая системная проблема защиты банков от DDoS-атак требует системного подхода в её решении.

 

Даже поголовно-принудительное внедрение решений с неизвлекаемыми секретными ключа ЭЦП клиентов и, тем самым, искоренение первопричины DDoS-атак как прикрытия фактов хищения средств со счетов корпоративных клиентов по системам ДБО, не избавляет автоматически от последствий в виде будущих DDoS-атак на банковские интернет-каналы и интернет-сервисы.

 

Уж больно простой в реализации, аппетитной и перспективной для злоумышленников выглядит тема DDoS-атак с целью нарушения операционной деятельности банков. Уже попробовали этот "наркотик".

 

Если Вы, mng, немного в курсе наших проектов, то должны знать, что Центр очистки трафика "iBank2.RU" создавался мною по нескольким причинам:

 

1. Работа на удержание наших банков-заказчиков через предоставление в рамках техподдержки бесплатного сервиса по защите банковских экземпляров iBank2 от DDoS-атак. Никто из разработчиков систем ДБО не предоставляет таких сервисов. БИФИТ и здесь первый.

 

2. Рост нашей компетенции. Воевать можно научиться только на войне. Это аксиома. Поэтому для роста компетенции R&D я инвестирую в этот проект.

 

3. Создание плацдарма для будущих сервисов iBank2, защищенных от DDoS-атак.

 

4. Поддержка продаж решений Radware DefensePro и Arbor Peakflow SP. Ничто так не убеждает заказчика, как практическая демонстрация возможностей. Будь-то автомобиль, пулемёт или Radware DefensePro.

 

5. Надежда в будущем монетизировать сервис и, как минимум, выйти на самоокупаемость :)

 

Обсуждение с kostich'ем его методы защиты тщетны. Не расскажет. Должны понимать почему. Думаю опыт у него огромный.

Да ничего толком kostich не рассказывает. Одно, IMHO, словоблудие.

 

Например, FPGA он занимался? Какие конкретно модели? На чем писал? Сколько вентилей и на какие модули у него использовалось? Использовал ли внешний TCAM? Какие контроллеры физического уровня использовал для 10GbE? Сколько правил фильтрации влазило и по каким из 17-ти параметров фильтровал? Да сотню вопросов могу вывалить...

 

IMHO, kostich занимается защитой обычных HTTP-ресурсов от DDoS-атак. По большей части от прикладных DDoS-атак. С изощренным сетевым флудом он сталкивался мало. Использует исключительно самописные софтверные решения на фермах блейдов. Решение только под себя для предоставления типового сервиса всем страждущих.

 

Если kostich на М9 присутствует своим оборудованием, то готов сделать кроссировку до его стойки дуплексным одномодом и протестировать его сервис на 10GbE. Серверных ресурсов для эмуляции DDoS-атак на М9 у меня хватит :) Методологию тестирования предварительно согласуем с kostich'ем. Потом всё опубликуем как есть.

 

Через реальный Инет заниматься глупостями не буду в принципе - ибо уголовно-наказуемое деяние.

Изменено пользователем bifit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решение с неизвлекаемыми ключами ЭЦП клиентов БИФИТ поставляет банкам уже два года.

В виде USB-токенов и смарт-карт.

Дмитрий, огромная личная просьба: Сообщите об этом Банку Москвы, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну radware же не делится алгоритмами...
Так у Вас, kostich, всегда и во всех форумах - как доходит до дела, до конкретики, то сразу голову в песок: "Знаем, умеем, можем, но не скажем как. Верьте на слово."

ссылочки предоставьте :)

 

ну radware же не делится алгоритмами...
Kostich, ИМХО, успешные продажи через технарей требуют демонстрации компетенции.

Не рекламных слоганов и чувственных уверений в мегазащищенности, а честного раскрытии ключевых технических моментов.

Только тогда к Вам и Вашим услугам возникает ДОВЕРИЕ, возникают ожидания, что предлагаемый Вами сервис будет действительно соответствовать заявленным ТТХ.

bifit, если мой клиент валяется, то я возвращаю ему деньги... если валяется Ваш клиент, то железку Вы назад не забираете. Многие клиенты провалялись под неделю у фирм работающих исключительно на готовом железе, а придя к нам поднялись практически мгновенно. Что касается заявленных ТТХ, то это комм. тайна. Касаемо демонстрации компетенции, то многие спецы видели что они не смогли срезать и что срезалось нашим решением в штатном режиме.

 

Например, FPGA он занимался? Какие конкретно модели? На чем писал? Сколько вентилей и на какие модули у него использовалось? Использовал ли внешний TCAM? Какие контроллеры физического уровня использовал для 10GbE? Сколько правил фильтрации влазило и по каким из 17-ти параметров фильтровал? Да сотню вопросов могу вывалить...

касаемо меня лично, то я уже давно не пишу... несколько строчек кода иногда. занимаюсь в основном аналитикой и постановкой ТЗ. у нас приличный штат админов и программистов. идею с FPGA мы задвинули два года назад, т.к. сосредоточились только на защите HTTP.

 

IMHO, kostich занимается защитой обычных HTTP-ресурсов от DDoS-атак. По большей части от прикладных DDoS-атак. С изощренным сетевым флудом он сталкивался мало. Использует исключительно самописные софтверные решения на фермах блейдов.

bifit, ну прекратите уже это. при защите HTTP без разницы какой идёт канальный флуд на фронт, т.к. фронт держит всё. в белые списки попадают только те кто выполнил ряд валидных HTTP операций. к клиенту в этом случае фильтруется 100% ЛЮБОГО ИЗОЩРЕННОГО сетевого флуда, что гарантируется алгоритмами. если фронт в конкретной географической локации случайно нагнули, то все успел попасть в белые списки ходят к клиенту как и ходили. выше уже упоминал, что применяются и сурьезные железки (гарды, арборы и иногда даже ваши радвары видели), но тем не менее применяются они не для защиты как таковой, а для удешевления фильтрации определенных видов флуда. что через них пролетает я прекрасно вижу. по такому же принципу, в плане HTTP, работают гарды, но с их тупой refresh page далеко не уедешь. именно из-за 100% гарантии защиты HTTP ресурса от флуда, которая как и писал на уровне алгоритмов обеспечивается, я этим и занимаюсь. касаемо интернет банкинга, то мне без разницы что там идёт на SSL, т.к. моя задача на стадии HTTP редиректа определять на 100% чистого браузерного клиента... на SSL реально фильтровалось 100% флуда. по защите произвольного tcp сервиса не вижу каких либо вменяемых алгоритмов.

 

Решение только под себя для предоставления типового сервиса всем страждущих.

у нас есть опыт установки решения под ключ для конкретных клиентов. в тот же самый km.ru когда-то очень давно ставили. их это спасло.

 

Если kostich на М9 присутствует своим оборудованием, то готов сделать кроссировку до его стойки дуплексным одномодом и протестировать его сервис на 10GbE. Серверных ресурсов для эмуляции DDoS-атак на М9 у меня хватит :) Методологию тестирования предварительно согласуем с kostich'ем. Потом всё опубликуем как есть.

На лабораторных тестах можно нагнуть практически любую железку. По тестированию на девятке в дясятошных объемах смысла нет, т.к. мы там столько не держим. Либо как нибудь со своим гигабитным боксиком приедем... либо где-то за пределами РФ линковаться. Лично мне это интересно, т.к. по этому поводу можно аж цельный пресс-релиз выпустить. Можем тот же самый валидный syn погонять и его комбинации.

 

Через реальный Инет заниматься глупостями не буду в принципе - ибо уголовно-наказуемое деяние.

Второй нашей задачей является формирование понятной для силовых структур статистики, которая позволяет максимально близко подобраться к исполнителям атаки. Во время больших атак из конкретных локаций мы стараемся собрать максимум информации по исполнителю, обнаружить все источники и центр управления атакой, выявить какую-то доп. информацию. Если там какие-то конкретные зацепки, то это все передаётся конкретным силовикам и не улетает в корзину. У нас нет такого, что сначала был ip с тупым HTTP флудом, а потом его поблочило и с него само собой видны только сины, что массой решений классифицируется как синфлуд. Если система на 100% знает что это не спуфинг, то это автоматом подшивается... аж с полными HTTP хидерами и др. дампами по мере необходимости. С таким подходом к статистике, которая как раз оптимизирована для расследований, мы можем позволить себе вести учет по каждому гаду с хакерских паблик форумов и выявлять персонажей с уникальными сигнатурами. Если бы я поставил себя на место плохих парней, то атакуя наши сетки я бы тратил бы очень много денег для своей анонимизации... просто параноидально бы к этому вопросу относился. Как с подобными данными у боксовых решений дела обстоят?

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дмитрий, огромная личная просьба: Сообщите об этом Банку Москвы, пожалуйста.
Клиенты Банка Москвы давно (больше года) и успешно используют USB-токены "iBank2Key" с неизвлекаемыми секретными ключами ЭЦП клиентов.

 

Банк Москвы уже купил несколько десятков тысяч сих девайсов и оные активно предлагаются клиентам во всех офисах. БИФИТ, будучи клиентом Банка Москвы, пользуется этими USB-токенами.

 

Если Вы, vlv, столкнулись с ситуацией, когда в каком-то отделении/офисе/филиале Банка Москвы исполнители на местах тормознули и не предоставили юрику/физику информацию - сообщите конкретику. Такая обратная связь будет полезна нашему банку-заказчику.

 

Изменено пользователем Dimitry_Repan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Kostich, расскажите всё что считаете возможным о технических моментах предоставляемого Вами сервиса.

 

Интересует вообще всё.

 

Я понимаю, коммерческая тайна и всё такое, но есть же вещи, которыми Вы гордитесь, которые преподносите Вашим заказчикам как достижения, как демонстрацию возможностей Вашего сервиса.

 

Ну например:

- сколько площадок

- где расположены, какими каналами включены в Инет

- что используете в качестве бордеров, в которые приходят аплинки и пиры

- чем боретесь с сетевым флудом

- что используете в качестве IP-фильтра дабы банить трафик с выявленных ботов, сколько IP-адресов влазит в таблицы такого оборудования/решения, какие ТТХ в Gbps и Mpps на выходе

- что используете для балансировки HTTP-запросов на ферму серверов

- поддерживается ли распределенная защита сразу на нескольких площадках

 

Интересно ВСЁ. И думаю, не только мне :)

 

Если в форуме есть Ваши потенциальные клиенты - конкретикой и открытостью вы убедите клиентов прийти именно к Вам за сервисом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дмитрий! Афигеть!! "Дайте две!!!"

 

Давайте СНАЧАЛА вы осветите фсе указанные выше запросы.

Если не всё чистите сами на своих мощностях, то не только вашу собственную структуру, но и структурку какогонить из клиентов без названия.

И мы посмотрим на эффект ;)

 

Кроме Ретна пожалуй больше ни один магистрал в России не расскажет честно про ширину своих аплинков, пиров и на какие конкретно они железки принимаются. Да и Ретна на картинках "правда, только правда, не фся правда" ;)

А тут критичность запроса поболе будет...

Или вы ДАЖЕ этого не понимаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я понимаю, коммерческая тайна и всё такое, но есть же вещи, которыми Вы гордитесь, которые преподносите Вашим заказчикам как достижения, как демонстрацию возможностей Вашего сервиса.

молчим как рыбы :)

 

... конкретикой и открытостью вы убедите клиентов прийти именно к Вам за сервисом.

за открытостью идите к касперскому :)

 

Интересует вообще всё.

да купите уже сразу лямов за пять зелени и получите всё :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А тут критичность запроса поболе будет...

если бы занимался ИБ, то вот так клиентов бы слить не решился -> http://www.bifit.ru/ru/company/clients/index.html

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дмитрий! Афигеть!! "Дайте две!!!"

 

Давайте СНАЧАЛА вы осветите фсе указанные выше запросы.

Если не всё чистите сами на своих мощностях, то не только вашу собственную структуру, но и структурку какогонить из клиентов без названия.

Да без напрягов :)

 

Наш проект пока в пилоте. Хотя с полсотни банков в рамках техподдержки уже подключены и их клиенты уже работают через наш Центр очистки трафика.

 

- сколько площадок

Пока две. Ибо пилот.

 

- где расположены, какими каналами включены в Инет

Одна площадка - в Москве на ММТС-9 (Бутлерова, 7, пом. 740). Предоставляем сервис нашим российским банкам-заказчикам.

 

Вторая площадка - в Киеве пока в датацентре украинского оператора Датагруп (Смоленская, 31/33). Предоставляем сервис нашим украинским банкам-заказчикам.

 

Со временем, как придут все тяжелые "железки", украинскую площадку планируется перенести в межоператорский датацентр NewTelco (Киев, ул. Гайдара, 50).

 

- что используете в качестве бордеров, в которые приходят аплинки и пиры

Используем Cisco 7606-S c RSP720-3CXL и WS-X6708-10G-3CXL. Естественно включены в MSK-IX (напрямую) и UA-IX (через Датагруп отдельным линком).

 

Аплинки по ширине пока далеки от идеала, но в рамках пилота хватает с головой. Сейчас занимаемся увеличением количества и ширины каналов. Например, в Москве и в Киеве подключаемся еще и к РЕТНу.

 

- чем боретесь с сетевым флудом

Всем, что я здесь в форуме перечислял :)

 

Для нас эти площадки - боевой полигон для практического знакомства с решениями вендоров.

 

Лучше и больше всего сетевого флуда - до 8Gbps и 10Mpps - пока держит Radware DefensePro 8412 IPS & Behavioral Protection.

 

- что используете в качестве IP-фильтра дабы банить трафик с выявленных ботов, сколько IP-адресов влазит в таблицы такого оборудования/решения, какие ТТХ в Gbps и Mpps на выходе

Используем возможности 76-й циски. Используем DefensePro. Естественно есть ферма серверов со своим проприетарным ПО :)

 

Кстати, БИФИТ - всё-таки именно софтверная компания, у нас есть технологические разработки, в том числе программные и аппаратные средства криптографической защиты информации, карточная операционная система, фрод-мониторинг электронных платежей и пр.

 

Поэтому наш R&D экспериментирует с хардварными платформами (PCI-e платы, 1U аплайнсы) на базе топовых FPGA и универсальных NPU. Смотрим что можно использовать под флоусенсор, что пойдет под высокопроизводительный stateless wirespeed firewall с большой таблицей правил фильтрации (от 1М записей) и 10GbE портами.

 

- что используете для балансировки HTTP-запросов на ферму серверов

Для балансировки iBank2-трафика больше всех понравился движок haproxy. Но пришлось прокачать - благо opensource.

 

- поддерживается ли распределенная защита сразу на нескольких площадках

Пока - НЕТ. В самых ближайших планах - обязательно ДА.

Изменено пользователем bifit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.