Jump to content
Калькуляторы

"Лаборатория Касперского": "Каждая DDoS-атака уникальна и приносит нам что-то новое"

Материал:

Решение по защите от DDoS в Лаборатории Касперского «Kaspersky DDoS Prevention» решили делать "своими руками" несколько лет назад, но только в 2008м решение из перспективного проекта перешло к реальному воплощению. Еще порядка полутора лет потребовалось на создание и доводку аппаратно-программного комплекса до "боевой версии", выбор типологии размещения: только с лета 2010 года подобную услугу, на базе этого решения, стали предлагать широкому спектру коммерческих клиентов. О специфике решения, его стоимости, эффективности и SLA, а также о специфике DDoS-атак нам рассказал менеджер проектов DdoS Prevention «Лаборатории Касперского» Михаил Савельев.

 

Полный текст

Share this post


Link to post
Share on other sites

После ухода Cisco с рынка решений для защиты от DDoS-атак все другие оживились.

 

Arbor Networks небезосновательно воспрял духом - ибо Cisco теперь рекомендует Arbor Peakflows SP.

 

Активизировались другие вендоры.

 

Честно говоря, я рассчитывал, что Kaspersky, будучи достаточно технологичным разработчиком, ввяжется в эту гонку и предложит свое решение рынку.

 

Но не в виде сервиса, а именно в виде массово продаваемого и разумного по деньгам решения.

 

Чисто софтового на ферме Xeon'овских серверов.

 

Или же "аппаратные" решения на промышленных платформах типа ATCA с использованием сетевых процессоров Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3.

 

Собственно именно это делает Arbor для тяжелых TMS'ов, делает Allot, в виде аплайнсов делает Radware, делают другие менее знаменитые вендоры.

 

А тут опять сервис...

Share this post


Link to post
Share on other sites

А нахера какой нибудь небольшой и средней фирме закорачиваться с покупкой железа, каналами, спецами, когда проще платить относительно небольшую сумму в месяц.

 

Точно также и касперам нахер не сдались всякие непонятные железяки, у них полно спецов по х86, что знают то и пилят. Может когда нибудь у них потребности дорастут до специфичного железа и стоимость этого будет оправдана, пока им и так вполне хорошо.

Share this post


Link to post
Share on other sites

Cavium Octeon II/Plus, NetLogic/RMI XLP/XLR, EZChip NP-4/NP-3 - непонятные железки?!

 

Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков!

 

Единственно рабочая схема для построения защиты от DDoS-атак на платформе x86 - это подобие того, что kostich описывал - ферма Xeon-серверов с 1GbE-портами на i82576EB + load-balancing на внешнем коммутаторе.

 

Kostich цифры приводил - его железка на средненьком Xeon'е E5420 тянет 1Mpps SYN-флуда.

 

У того же Arbor'а софтверный TMS2500 выдает суммарно на всех 1GbE-портах до 1,8Mpps.

 

Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB.

 

И тоже радикально больше по Mpps'ам разогнать платформу x86 при обработке TCP SYN Flood с 64-байтными пакетиками ну никак не удается - упираемся в ограничение платформы.

 

И вывод из этих экспериментов только один - реализовывать промышленные решения для защиты от DDoS-атак только на предназначенных для этих задачах платформах - на топовых сетевых процессорах типа XLP832 или CN6880, или же для маньяков/военных - на топовых FPGA с максимальным прокачиванием производительности.

 

Если железки лень разрабатывать - можно взять готовые масштабируемые платформы в ATCA-конструктиве - ccpu.com , emersonnetworkpower.com , ge-ip.com , radisys.com и пр.

 

Для более легких решений можно взять готовые платформы под аплайнсы вроде AdvanTech NCP-5120.

 

Но опять же - взять платформы со специально предназначенными для сетевой обработки чипами.

 

Ну ведь никто вменяемый не делает тяжелые маршрутизаторы уровня MX-960 на писюках!

Edited by Dimitry_Repan

Share this post


Link to post
Share on other sites

Да, делать надо на узко заточенных процессорах. Вопрос: зачем это надо и кому, потягаться с Арбором?

Share this post


Link to post
Share on other sites

Сервисы просто выгонее. ;-)

Атаки - штука нечастая, и одновременные крупные атаки - скорее исключение.

Значит клиентов вожно "мултиплексировать"....

Share this post


Link to post
Share on other sites
потягаться с Арбором?

Вы серьезно считаете Arbor Peakflow SP эталонным решением ?!

 

С 3.1 Mpps при SYN-фладе на 10GbE-порте для "хардварного" Arbor TMS-3100 ?!

 

Да тот же DefensePro 8412 (тоже "хардварный", только вместо двух Netlogic/RMI XLR732 стоит EZChip NP-3) с GPL в два раза ниже TMS-3100 на 10GbE-порте честно держит SYN-флад в 10Mpps!

 

Но и DP-8412 я тоже не доволен - есть минусы.

 

 

Share this post


Link to post
Share on other sites

Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово.

 

Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится.

Share this post


Link to post
Share on other sites
Дима, я имею ввиду следующее: на текущем уровне технологии возможно все или почти все. Но не все целесообразно. Вот Вы перечислили продукты, сравнили их по ходу... Здорово.

 

Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек. Убедите меня дать Вам денег на разработку еще более лучшего решения. Точнее говоря, убедите меня в том, что дав Вам эти деньги, я получу не только выдающуюся коробку (хотя и в этом у меня изначально есть сомнения), но и свои деньги обратно с прибытком (для уверенности в этом у меня вообще нет пока поводов). Если для Вас это самоочевидно, потому что "ну не могут же не купить такую нужную штуку" - то разговора не получится.

Спрос надо просто уметь формировать. Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.

Share this post


Link to post
Share on other sites
Теперь представьте, что я - Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек...

Да зачем МНЕ представлять?!

 

Я фактически и есть Денежный Мешок, Ищущий Возможность Для Инвестиций в Хайтек :)

 

Плюс к этом есть собственная компания-разработчик из более 200 сотрудников.

 

И мы не только разработкой Интернет-Банкинга последние 11 лет занимаемся.

 

Мы ведем ресеч в технологических плоскостях.

 

Есть, например, у нас лицензии ФСБ на разработку СКЗИ (такие же как у Крипто-Про), есть разработчики СКЗИ с профильным образованием 4-го факультета, ведем работы по сертификации наших решений в 8-м Центре ФСБ (бывшее ФАПСИ).

 

Например, БИФИТ первая в России компания, в рамках пилота разработавшая для IBM Z9/Z10 под z/OS криптобиблиотеку с российскими ГОСТами.

 

Кстати, Вы много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10?

 

А когда в IBM'овском Центре тестировались на мейнфреймах вопросы были: "Кто Ваш заказчик в России на столь специфичное приложение для мейнфрейма - ЦБ или РЖД?"

 

Или вот есть у нас "карточное" направление - разработка КОС (карточная операционная система) и СКЗИ (средство криптографической защиты информации) для защищенных карточных чипов.

 

Сейчас завершаем тестирование КОС и встроенного в него СКЗИ для двух платформ ST23 STMicroelectronics и P5 NXP. С третьей платформой - от Samsung'а - не сложилось...

 

Сделали также отдельные решение, включая СКЗИ с российскими ГОСТами, для 32-битных ядер - старого ARM7TDMI (раньше) и нового ARM Cortex-M3 (недавно).

 

Да много чего делаем в рамках исследований.

 

Но ресурсы, в том числе финансовые, стараемся тратить разумно, аккуратно.

 

Например, то же направление защиты от DDoS-атак. Больше года работаем. Много уже вложено. Организован Центр очистки трафика и чистим на халяву трафик нашим банкам для системы "iBank2" (финансирую из фонда развития и техподдержки). В рамках этой же площадки проводятся опытная эксплуатация потенциальными заказчиками решений Radware DefensePro и Arbor Peakflow SP. Постоянно наращивается компетенция в боевых условиях, а не только на лабораторных стендах.

 

Планирую и дальше развивать это направление. И в первую очередь ПРОДАЖИ.

 

Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка).

 

Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства.

 

Поэтому сейчас и ближайший год точно никаких промышленных разработок в направлении DDoS-решений начинать не буду. Только продажи, ресёч и наращивание компетенции.

 

Сейчас главное - научиться продавать сделанное другими. А уже потом можно подумывать о разработке своего продукта, если рынок продемонстрирует спрос.

 

Вот такая реальность...

Edited by Dimitry_Repan

Share this post


Link to post
Share on other sites
Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.
Неправильно это, нечестно...

 

Edited by Dimitry_Repan

Share this post


Link to post
Share on other sites
много знаете разработчиков, знакомых с архитектурой и системой команд процессоров Z9 и Z10?

А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных? ( http://www-03.ibm.com/systems/ru/z/z9bc/ последний абзац :) )

Edited by s.lobanov

Share this post


Link to post
Share on other sites
А что, написание кода под 31-битную ОС так сильно отличается от 32ух битных?
Для нативных приложений - да.

 

При разработке криптопримитивов необходимо максимально эффективно использовать возможности архитектуры процессора и при этом аккуратно обходить острые углы (недостатки, особенности) этой же архитектуры.

 

Особенно это актуально для эллиптических кривых.

 

Когда портировали iCrypto под z/OS и z/Linux - ребята много повозились. Но по большей части в оптимизации производительности под архитектурные особенности Z9 дабы выжать по-максимуму.

 

Share this post


Link to post
Share on other sites

Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так?

Edited by s.lobanov

Share this post


Link to post
Share on other sites
Накинуть процентов 10-20 сверху от базового инвестплана на стимуляцию спроса ботнетами, - и в очередь будут записываться.
Неправильно это, нечестно...

Ой, да ладно Вам, Дмитрий!

Зато дёшево, надёжно и практично!

Share this post


Link to post
Share on other sites
Последние пол-года периодически облизываюсь на разработку собственного решения, как раз на универсальных NPU, как это делают Radware, Arbor, Allot и др. Ибо по образованию - инженер по специальности 2201 (Бауманка).

 

Но каждый раз ясно понимаю, что сделать можно всё что угодно, вон, даже на Луну люди летали. А вот потом массово продать это хайтек-решение да оказаться в плюсе - вот это и есть высший пилотаж предпринимательства.

Ну так вот я именно об этом. А Вы все и так прекрасно знаете :)

Share this post


Link to post
Share on other sites
Да я всё это прекрасно понимаю, просто на сайте ibm очепятка про 31 бит или на самом деле так?
Никакая не опечатка.

 

Есть 31-битная z/OS для совместимости со старыми приложениями и есть 64-битная z/OS.

 

z/Linux только 64-битный.

 

Кстати, процессоры в z/Systems - свои собственные, а не POWER, как некоторые думают.

 

Share this post


Link to post
Share on other sites
Guest Алекс

Идея, как всегда, отличная. Реализация, как всегда - так себе.

Share this post


Link to post
Share on other sites

Не совсем ясно причем тут железки...

Вобше писалось же о сервисе.. как ясно из рисунков много компанетном и децентрализовоном...

А с железкой все сходиться к одному устройству... которое надо резервирывать и тд.

Edited by duke

Share this post


Link to post
Share on other sites
Да эти "непонятные железки" для вендоров сетевого оборудования типа Cisco, Juniper, Alcatel и других грандов - как x86 для мира писюков!
Касперы из мира х86, как и большинство.

Им проще купить больше в любом ларьке по дешману и ле

 

 

Мы аналогично экспериментируем с серверами на Dual Six-Core Xeon X5680 + сетевыми 1GbE-картами на i82576EB и сетевыми 10GbE-картами на i82598EB и i82599EB.
Ядра друг другу не мешаются?

В смысле не пробовали выжимать больше на 1-2 ядрах?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this