Перейти к содержимому
Калькуляторы

"Оверсан" правда отбил 20 Гбит/с?

Материал:

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость Ermak

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

для фильтрации 20 гигабит UDP нужна всего одна ACL :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить".

интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы.

 

. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки.

На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета.

 

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

 

Изменено пользователем kostich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

т.е. такая атака по вашему невозможна?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насчет "ни один", эт Вы, Алексей, здря.. Очень часто не фильтруют левый соурс ип. тоесть совсем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость z0m

Надо начинать с меньшего - гасить нафиг всех СЕОшников

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

Как бы смешно не звучало, но спуфленый синфлуд и от хомяков иногда прилетает... очень редко, но бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость FtoR

Не верьте ни единому слову. Адский пиар ни на чем. Не было таких атак никогда в Оверсане, больше 6Gbps Cisco Guard там не пропускают. Систему под нагрузкой, при мне, дай Бог, загрузили тестовым трафиком Gbps на 200-300, не больше.

Коммерческий булшит, желтуха и откровенное "вранье".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас