Jump to content
Калькуляторы

"РТКомм": "Защита от DDoS - это всегда совместная работа с клиентом"

Материал:

Услуга по защите от DDoS все больше интересует не только операторов связи, финансовые корпорации и банки, но и страховые компании, государственные структуры и другие предприятия и учреждения, бизнес которых критичен к непрерывности функционирования Интернет-ресурсов. О специфике тарификации таких услуг, параметрах SLA, взаимодействии с клиентами нам рассказал Руководитель группы управления продуктами ОАО "РТКомм.РУ" Иван Мирошниченко.

 

Полный текст

Share this post


Link to post
Share on other sites

Сегодня у нас в гостях (в БИФИТе) был Ярослав Росомахо и рассказал о новых фичах Arbor Peakflow SP в выходящей в октябре версии 5.5. Очень порадовал.

 

Кстати, начиная с версии 5.5 корпорэйт сможет использовать TMS самостоятельно, без использования коллектора (Arbor CP5500-2). А это - реальная экономия бюджета. Хотя без развернутых, подробных отчетов сипишки - тяжеловато.

 

 

Share this post


Link to post
Share on other sites
Guest Вячеслав

Интересно было бы спросить у г-на Мирошниченко - собирают ли они статистику по ботнетам для дальнейшей вероятностной оценки в полностью автоматизированной фильтрации запросов тех же бот-сетей, пишут ли после атаки какие-либо абузы? Какие модели воздействия строят, если в принципе это делают. Одно дело просто тупо толщиной канала дышать и отбивать блоками в той же циске, другое дело хоть что-то делать для чистки бот-узлов.

Вообще в целом интересно было бы узнать о реальных выводах и отчетах после отбития ддос-атак.

 

Еще стОит посматривать в сторону проектов монетизации от использования каналов (p2p, торренты), якобы процессорного времени (тот же BitCoin) - потенциально такие проекты представляют собой уже готовую бот-сеть с легальным вовлечением в нее. Если не начинать готовить заранее "снине таблетки" от таких вещей - поток в 3ГБит/с покажется мизером. Те же кракен, пандора по неофициальным данным берут 300 и 140Гбит/с соответственно, то что такое 3 при реальной мощной атаке (например, превентивные меры тех же спецслужб в отношении других государств, речь о Китае и США, Иране и США, остальная мелочь в прессе).

Хотя это уже другой уровень, но суть остается той же - широкий канал и временная блокировка это не выход. Как вариант - мгновенное использование упомянутого пиринга совместно с ответным траффиком, моментальным выставлением абуз по магистральщикам и далее локальным провайдерам.

Да, иногда ответный траффик дешевле и эффективнее стратегии дропов запросов и последующей блокировкой, особенно если задействуется (легально конечно же) пиринг.

Share this post


Link to post
Share on other sites
Guest Вячеслав

"Услуга по защите от DDoS все больше интересует" - потому и интересует, что ситуация пущена на самотек, бороться с фактом атаки менее затратно, чем с причиной этой атаки или его инструментом.

Share this post


Link to post
Share on other sites

прям пиар доса последние время

 

ну подосили ютк летом 2008 (или 2007?? и не уверен что это был дос. имхо компания перстраивалась и чето местные админы поломали, наверника и баб зина вместе с баб машей проводили уборку...)

 

ну небыло в краснодарском крае интернета почти 2 недели. ну глючил инет у ЮТК во всем ЮФО (тогда это было еще все ЮФО да и инет у ЮТК всегда глючил. сколько использовал столько глючил причем поголовно у всех юзверей) все лето и первые месяц зимы 2009 (или 2008 давно дело было то)

 

ну все все выжили некто не помер (слава богу)

Share this post


Link to post
Share on other sites

да :)) защитников от атак счас много - а что тема хлебная, модная :))

 

только вот практического смысла для обычных людей хотя бы и клиентов банков я честно говоря не вижу - простейший пример

вот уже НЕДЕЛЮ у Сьербанки РФ не работает интернет-банк для юрлиц.. ну как не работает- что то в нем конечно происходит но говорит о том что он "работает" смешно, это скорее всего у Западно-Сибирского и еще неск. территорильных банков

и наверняка ведь купили за хорошую цену защиту от ДДоса и непрерывно хваляться своей надежностью

а ниче не работает - рукожопы чо

 

это я собственно к тому что всегда нужен комплекс - а так одни продают от одного, другие от третьего

а на проверку проку один фик нету

Share this post


Link to post
Share on other sites
Тут один ботнет описали: TDSS - полное раскрытие

мда....цифры впечатляют....

 

Как видно из таблицы, в период с 07.02.2010 по 14.07.2010 количество ботов, прошедших через первый сервер, выросло почти на 40%, а общее количество компьютеров, заражённых руткитом TDL3 в период с 12.08.2009 по 14.07.2010, составило более 16 000 000. Крупнейшим ботнетом в мире до настоящего момента считался ботнет Mariposa, объём которого на момент его закрытия был оценён экспертами в 12 000 000 зомби-машин.

Share this post


Link to post
Share on other sites
мда....цифры впечатляют....
А потому что никто не борется с вирьем в своих сетях.

 

Share this post


Link to post
Share on other sites

так оно к юзеру попадает не с локальных ресурсов, а с китайских хостингов

Share this post


Link to post
Share on other sites

так оно к юзеру попадает не с локальных ресурсов, а с китайских хостингов

И что? Оно что, не ходит на C&C, или не спамит, или не dos-ит ?

Share this post


Link to post
Share on other sites

кстати, очень интересно посмотреть, кому принадлежит сеть 91.212.226.0/24, которая используется ботнетом )))

 

inetnum: 91.212.226.0 - 91.212.226.255

netname: ZHIRK

descr: Artem Zhirkov Alekseevich

country: RU

org: ORG-ZA44-RIPE

 

rganisation: ORG-ZA44-RIPE

org-name: Artem Zhirkov Alekseevich

org-type: OTHER

address: Nizhniy Novgorod, 603009, Gornaya street, building 4

phone: +8 920 2516258

 

Share this post


Link to post
Share on other sites

Оно это делает как-то заметно не так, как обычный юзер пользуется интернетом? Почитай, - там подменяют на компе хомячка выводы поисковиков, - это как должно быть видно со стороны оператора? На C&C они ходят по обычному HTTPS, вполне легитимный траффик.

Share this post


Link to post
Share on other sites
кстати, очень интересно посмотреть, кому принадлежит сеть 91.212.226.0/24, которая используется ботнетом )))

 

address: Nizhniy Novgorod, 603009, Gornaya street, building 4

phone: +8 920 2516258

http://www.websitetrafficspy.com/isp/80032...v%20alekseevich

Там вообще помойка-хостинг.

Share this post


Link to post
Share on other sites
Оно это делает как-то заметно не так, как обычный юзер пользуется интернетом?
Да. Просые боты легко поддаются выявлению, особенно при "полезной нагрузке".

 

На C&C они ходят по обычному HTTPS, вполне легитимный траффик.
Да, только там нет https заголовка...

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this