[bifit]

У Арбора сейчас уже есть решение на 40Gbps на IMIX-трафике - TMS 4000-ой серии в полной набивке.

 

Но стоит как самолет - 1,6 млн. грина и это без CP'ки (коллектора), внедрения и сопровождения ;-)

 

DP-8412 от Radware'а свои 8Gbps очищенного трафика выдает только при трех..пяти сетевых политиках. Если Вы настроите политик 50 - то производительность упадет до 3,5Gbps.

 

Сейчас Radware экспериментирует с ATCA-платформой по аналогии с 3000-ыми и 4000-ыми TMS'ами Arbor'а. Только эта новая платформа у Radware'а уже на 80Gbps заточена.

 

Анонсить планируют в этом году.

 

Кстати, Mikhail, а какой трафик будете от DDoS-атак защищать? Обычный HTTP? Или что-то более навороченное?

 

А то с HTTPS очень непросто с защитой от прикладных DDoS-атак без интеграции с приложениями заказчиков.

 

Что касается чистить DDoS-трафик, формирующийся в Украине... Так ведь если оный формируется, то Вам надо к UA-IX подключаться и анонсить защищаемые префиксы в UA-IX.

 

А в UA-IX не чисто коммерция, там политика. Нам пришлось четыре месяца уговаривать участников UA-IX'а, чтобы приняли в члены. Мы подключились. Пока одной десяткой. Появится нужда - будем расширяться.

 

Если у Вас есть острая нужда - в качестве эксперимента могу почистить Вам трафик в Украине с UA-IX'а. Но это уже в личку или на antiddos@bifit.com

 

Кстати, могу отгрузить в Украине Radware DefensePro - от младшенькой 1U DP-1016 и до тяжелой DP-8412 на ODS 3S2 c EZChip NP-3 с внедрениями и консультациями сертифицированных специалистов по DefensePro из личной обоймы. Знаком с руководством Radware ;-)

 

Если смотрите в сторону Arbor Peakflow SP - тоже готов помочь под ключ. Но нужны детали проекта.

 

В лаборатории есть и ходовая DP-1016, и топовая DP-8412, и Arbor Peakflow SP (CP + TMS).

 

Чтобы было четкое представление (из личного опыта) - Radware DefensePro хорош при защите дата-центра крупного корпорэйта с ограниченным набором защищаемых сервисов.

 

Если стоит операторская задача (предоставлять сервисы большому количеству ресурсов) - тогда выбирайте Arbor Peakflow SP с тяжелым TMS'ом.

 

А еще в обоих случаях нужна команда специалистов, которые будут мозгом Вашего Центра очистки трафика.

 

Да, на аппаратный IPS в DP-8412 ODS 3S2 очень сильно не рассчитывайте. В платформе ODS 3S2 используется контекстный процессор NetLogic с производительностью 2,5Gbps. И сигнатур больше 700 штук в сей процессор грузить вредно - резко снижается производительность. Хотя свои проприетарные сигнатуры, работающие на этом контекстном процессоре, очень эффективно помогают бороться с выявленным DDoS'ом.

 

Собственно Regex в Arbor TMS 3000 и выше тоже аппаратно делается.

Изменено 5 февраля, 2011 пользователем bifit

[Mikhail_N]

Спасибо большое!

Так как вижу что вопрос Вам интересен, то отвечу более развернуто в приват.

[kostich]

Да, на аппаратный IPS в DP-8412 ODS 3S2 очень сильно не рассчитывайте. В платформе ODS 3S2 используется контекстный процессор NetLogic с производительностью 2,5Gbps. И сигнатур больше 700 штук в сей процессор грузить вредно - резко снижается производительность. Хотя свои проприетарные сигнатуры, работающие на этом контекстном процессоре, очень эффективно помогают бороться с выявленным DDoS'ом.

да авторы этих тупых дидосных ботов тока и делают, что запердоливают туда красочную сигнатуру, которая отличает этот трафик от валидного. а как начинает валить валидная тема, то большая часть коробочных решений хватается за голову и разводит руками.

Изменено 7 февраля, 2011 пользователем kostich

[kostich]

Получить честный TCP SYN Flood со спуффингом на всю полосу в 10GbE (а это ~14,8 Mpps), да так, чтобы IPS не срабатывал по сигнатурам - задача непростая, но реализуемая.

 

Дмитрий, извините, но я это сделал. Для завала механизма защиты от синфлуда/синспуфа full packet rate железа достаточно спуфить по базе хостов с кривым стеком. У генератора синспуфа вместо рандом функции цепляется функция рандома по базе IP адресов. Т.е. на тестовых атаках идёт формирование поведения айпи стеков соответствующих RFC, а в реальности же какая-то часть айпи стэков достаточно кривая... следовательно при спуфинге по базе айпи адресов с кривым стеком происходит авторизация в белых списках железки, а следовательно происходит пробой сквозь железо... как итог таблица с белыми списками наполнена мусором. В моем случае мы навернули еще один слой... а как быть с вашим железом? Для пробоя железки не нужно генерировать 14,8 Mpps валидного синфлуда... сделать пресс-релиз?

[vIv]

Для пробоя железки не нужно генерировать 14,8 Mpps валидного синфлуда... сделать пресс-релиз?

Безотносительно разборок конкурентов: о подобных вещах выпускать пресс-релизы полезно не только для авторов, но и для всего сообщества в целом. Это поднимает общую планку стремлений и стимулирует прогресс. Ну и, конечно, хвалит и стимулирует самих авторов, очень приятно поднимает их репутацию не только самим достижением, но и ответственным отношением к профессиональному сообществу.

 

Поэтому: если, конечно, можно спрятать коммерчески значимые детали, если получится не стимулировать пресс-релизом злоумышленников, - то да, пресс-релиз очень желателен.

 

Это, конечно, только моё мнение.

[kostich]

... если получится не стимулировать пресс-релизом злоумышленников ...

 

в этом как раз и вся фишка, что таким пресс-релизом только их и стимулировать. речь идёт об уязвимости всех прозрачных магистральных решений работающих исключительно на входящем трафике... ВСЕХ БЕЗ ИСКЛЮЧЕНИЯ. по аналогии у меня родились три типа новых атак, которые нацелены на переполнение таблиц с белыми списками. единственный выход из ситуации сводится к планомерному вычислению кривых айпистеков с соответствующими патчами на выходе.

[kostich]

vIv, круче синкуки еще ничего не придумали... но её, увы, нельзя использовать прозрачно на уровне магистрали. При прозрачном протекшене, единственным выходом из ситуации, будет являться патч на стек защищаемого ресурса для синхронизации синкуки с пакетным фильтром... это не второй слой, а уже третий. В случае с прокси мы этот слой делаем у себя, а в случае с магистралью внедрение даже второго слоя осложняет посещение ресурса обычными посетителями.

[vIv]

Повторяю вопрос про токен: поддерживается ли он в Win7/64? пригоден ли он для работы с веб-банкингом? Вопрос касается толстеньких чёрно-белых токенов с крышечкой.

Вот такой что-ли - http://www.bifit.com/ru/company/press/usb-token.html - ?

 

Тогда это наш USB-токен "iBank2Key". И наклейка на нём должна быть, если конечно же Банк Москвы специально не взял без наклейки (это мне надо уточнить).

Без наклейки. Сегодня получил. Смешная свистулька при вставлении в Windows7 вызывает BSOD. Драйвер с сайта это лечит, но всё-равно остаётся устройство "Смарт-карта" без драйвера. Но потом всё работает, однако же.

[bifit]

Смешная свистулька при вставлении в Windows7 вызывает BSOD.

BSOD - это скверно.

 

Прошу уточнить:

- внешний вид USB-токена - брутальный черный с белым или попсовый синий?

- тип Win 7 (32 или 64 бит, русская/английская, какая редакция)

- инфа о железе, на котором наблюдается BSOD под Win 7 без драйверов

 

По идее синий попсовый соответствует спецификации ICCD и должен обнаруживаться Win 7 как родной.

[vIv]

Кстати, таки да. И опять сертификат делается на год... Причём, делается он хомячком дома, хотя и генерируется непосредственно внутри SIM-карты токена. Неужели трудно обучить банкиров жмякать пипку прямо в отделении банка, заодно и регистрируя новый сертификат, - и отдавать сразу уже заряженный токен? А то по нынешней схеме покупка аппаратно надёжного вечно актуального токена выглядит так:

1) съездить в банк, купить токен

2) съездить домой, получить BSOD, перезагрузиться, позвонить в саппорт, узнать про драйвер на сайте, удалить ошмётки предыдущего драйвера, перезагрузиться, скачать новый, поставить его, перезагрузиться, сделать сертификат (да, конечно же, зайдя в банк с СМС-подтверждением, то есть тоже не пара кнопочек), записать на листочек ID

3) съездить в банк ещё раз, показать им ID, попросить активировать сертификат

... каждый год повторять процедуру с поездкой в отделение и новым ID

 

Токен чёрно-белый, с синим свето-диодиком. Несмотря на фотки на сайте, просто так разобрать не удалось. Win7/32/Starter/RU, штатный для ASUS EEE PC 1015PED в России.

 

К слову, так и висящее с красным крестиком устройство "Смарт-карта" без драйвера, блин, напрягает...

 

Давайте я вам буду сторонним консультантом по юзабилити, а? И заодно бета-тестером Москвабанки до-кучи...