Jump to content

"Оверсан" правда отбил 20 Гбит/с?

Robot_NagNews

By Robot_NagNews
in У нага

 Share

Recommended Posts

Robot_NagNews

Robot_NagNews

Posted
Posted

Материал:

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац.

 

Полный текст

Guest Ermak

Guest Ermak

Posted
Posted

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

kostich

kostich

Posted
Posted
>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

для фильтрации 20 гигабит UDP нужна всего одна ACL :)

 

kostich

kostich

Posted
Posted (edited)
. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить".

интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы.

 

. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки.

На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета.

 

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

 

Edited by kostich
Алексей Андриянов

Алексей Андриянов

Posted
Posted
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

ingress

ingress

Posted
Posted
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

kostich

kostich

Posted
Posted
тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто.

 

Алексей Андриянов

Алексей Андриянов

Posted
Posted
тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

kostich

kostich

Posted
Posted
Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

Как бы смешно не звучало, но спуфленый синфлуд и от хомяков иногда прилетает... очень редко, но бывает.

  • 3 months later...
Guest FtoR

Guest FtoR

Posted
Posted

Не верьте ни единому слову. Адский пиар ни на чем. Не было таких атак никогда в Оверсане, больше 6Gbps Cisco Guard там не пропускают. Систему под нагрузкой, при мне, дай Бог, загрузили тестовым трафиком Gbps на 200-300, не больше.

Коммерческий булшит, желтуха и откровенное "вранье".

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.