[kostich]

Теперь осталось только разобраться кто кому в таком случае за полосу платить будет...)

 

наши клиенты за полосу вредоносного не платят. смысл разбираться дальше?

[kostich]

Вот вваливает с аплинка вашего аплинка(!) спуфленный udp и что? Где вы его фильтровать собрались? В произвольном месте интернета фильтр вешать?

 

у аплинка нашего аплинка... ну или в произвольном месте Интернета... вполне рабочая схема.

[t0ly]

Теперь осталось только разобраться кто кому в таком случае за полосу платить будет...)

 

наши клиенты за полосу вредоносного не платят. смысл разбираться дальше?

 

т е клиент платить за 1Г вам по цене в 2-4 раза выше чем вы платите магистралу

что происходит когда клиента досят со скростью 10Г ?

сколько клиент при этом оплачивает? 1г или 10 и по какому тарифу магистральному или вашему?

[kostich]

т е клиент платить за 1Г вам по цене в 2-4 раза выше чем вы платите магистралу

что происходит когда клиента досят со скростью 10Г ?

сколько клиент при этом оплачивает? 1г или 10 и по какому тарифу магистральному или вашему?

 

клиент нам оплачивает только за полосу чистого трафика. сколько там уже идет и сколько фильтруется ему обычно не сообщается. подбробная статистика есть только по атакам апликейшен уровня. за вредоносный трафик он не платит, т.к. этот трафик до него недоходит.

[t0ly]

т е клиент платить за 1Г вам по цене в 2-4 раза выше чем вы платите магистралу

что происходит когда клиента досят со скростью 10Г ?

сколько клиент при этом оплачивает? 1г или 10 и по какому тарифу магистральному или вашему?

 

клиент нам оплачивает только за полосу чистого трафика. сколько там уже идет и сколько фильтруется ему обычно не сообщается. подбробная статистика есть только по атакам апликейшен уровня. за вредоносный трафик он не платит, т.к. этот трафик до него недоходит.

но ведь чудес не бывает кто то за эту полосу платит?

вопрос - кто?

[kostich]

но ведь чудес не бывает кто то за эту полосу платит?

вопрос - кто?

 

ну клиенту какая разница?

[bifit]

ИМХО, скорее всего kostich:

 

1. Договорился с Андерсеном и поставил свое железо+софт для очистки с подключением к бордерам на границе сети Андерса - в Амстердаме, в Лондоне, в Франкфурте и в других точках, где в сеть Андерса вливаются толстые аплинки и пиры с IX'ов.

 

2. Использует BGP anycast - с каждого узла очистки, подключенного к бордеру Андерса, анонсирует свою AS50098 и "приземляет" весь приходящий трафик с аплинков и пиров Андерса прям здесь же, на границе сети Андерса, не засоряя сеть Андерса.

 

3. Для блокирования UDP-flood'а использует BGP flowspec на аплинков Андерса.

 

4. В качестве оборудования узла для очистки до 20Gb (UDP-flood'а уже нет, только SYN-flood + прикладной HTTP-flood) использует коммутатор уровня C3750E-24TD с подключением к Андерсу двумя десятками в Etherchannel'е и балансированием трафика на 12 двухсокетных серверов на Xeon'ах, с подключением каждого сервера к C3750E двумя гигабитными линками в Etherchannel'е.

 

Всё ноу-хау kostich'а:

- в его софте, работающем на серверах узлов и чистящих каждый свои два гигабита входящего трафика от DDoS-атак;

- пассионарности и организаторских способностях договориться с Андерсом.

 

Возможно Константин со своей командой, как практик, ушел вперед и научился на серверах с топовыми X5690 + 10Gb-портами на контроллерах i82599 чистить трафик от SYN-flood'а и прикладного HTTP-flood'а на более высоких скоростях - до 10Gbps и 5Mpps. По крайней мере энтерпрайзный Arbor Pravail и наши пилотные разработки чистят 10Gbps прикладного флуда и 5Mpps син-флуда исключительно софтверно, без сетевых процессоров, ASIC'ов, FPGA и RegExp-процессоров.

[nuclearcat]

ИМХО SYN и прикладной тоже можно разбросать etherchannel-ом по ip src + ip dst даже на 2960G, даже без топовых серверов и 10G.

Поправочка - вход конечно прийдется 10G, тогда скорее 2960-S, но с ними дела не имел.

[kostich]

тема чуть не про то.

[SoulDivider]

Блин, ну как не хочется флеймить. Bifit, ну как можно на фуллпакетрейт чистить синфлуд без стейтов? Никак нельзя. Если алгоритм такой опишите, то по всей видимости вас сразу на работу к производителям вышеприведенного оборудования возьмут. SYN флуд сам по себе бывает разным. Подропать SYN пакет с признаками невалидности ума большого не надо. Как они там чистят? SYN DROP? Ну вы же видели опции, когда дроп идёт до 3-х синов подрят. А если ддос-еры будут флудить тремя синами подряд с одним src port и одним src ip? Ну там с паузой какой-то... и что там чистит после этого? Ну перешли на tcp safe reset... и что? На тестах это всё красиво и транспаретно, а по факту в инете есть ахрениард хостов отвечающих на левый syn правильным rst. Мож про это в доке написано какой? Ну и даже с вышеперечисленным мы приходим к необходимости держать стейты. Значится на весь IPv4 памяти не хватает, а таблиц надо надцать. Они берут и по чеснаку отрезают какое-то кол-во бит на всё IPv4, т.е. в белый список после верификации попадает не один IP, а целых ... ну если за 8мб оперативной памяти на платке, то я боюсь себе представить скольно. И таким образом мы получаем, что если немного поковырять любую существующую железяку, то можно ставить её в любую коленолоктевую.

 

ну и калькулятор в руки возьмите, кэш проца или контроллера... ну чего там используют... ну и скорость самой быстрой памяти и шины подсчитайте. ну откуда они там стейты берут? а как быть с ipv6? там вообще труба будет.

 

пысы. вечером удалю.

Значит про syn proxy с использованием syn cookie мы не занем?

 

новый перл

 

 

на 14 минуте про нашу AS-ку презентуют. у парней с ДНК проблема. они становятся туда где больше всего трафика, а затем там нульраутят или снимают анонс... и этим самым они защищают клиента от DDOS. на фоне предвыборной дележки забавно выглядит. а вот кто будет платить за 9-12 гиг транзита так и не сказали... в их случае платить будет клиент, а в нашем случае как-то сами перекручиваемся.

Ах да, посмотрел, не услышал нигде про нульроут, мб и у меня проблема в ДНК?

ПыСы Костич, запарил стирать посты, сказал - не отказывайся от слов!

[flx]

Весело тут у вас. Anders - это cisco network. Соответственно о bgp flowspec не может быть и речи.

Думаю всем все стало понятно.

 

Ну и за здравую цепочку рассуждений пользователю Bifit - шоколадка. 5Mpps возможны, но будет ощутимая деградация.

[kostich]

Значит про syn proxy с использованием syn cookie мы не занем?

 

конечно знаем, но это величайшее зло при больших ддосах. мож я на эту тему уже на платной основе писать начну?

 

пысы. пост мой тот с деталями подотрите... если школьники тему поймут, то тот же бифит пострадает сильно.

 

Ну и за здравую цепочку рассуждений пользователю Bifit - шоколадка. 5Mpps возможны, но будет ощутимая деградация.

 

только она к реалиям отношений каких либо не имеет. шоколадку поддерживаю. про 5mpps можно даже уже не мечтать... ддосы синами большие 6mpps суровая реальность. ставлю 100 баксов, что следующая неделя будет богата на большие ддосы... все будет минимум как в декабре, но только не ясно в какую сторону будут подвижки.

[kostich]

[11:17:07] xxxxxx_admin: блин. чтоб эти ДДОСеры сдохли! валят кого-то политично-выборного, а лежит до куч и все у нас

[11:17:20] Константин: в вебальте?

[11:17:23] xxxxxx_admin: ага

 

началось :(

[flx]

[11:17:07] xxxxxx_admin: блин. чтоб эти ДДОСеры сдохли! валят кого-то политично-выборного, а лежит до куч и все у нас

[11:17:20] Константин: в вебальте?

[11:17:23] xxxxxx_admin: ага

 

началось :(

 

FP

[faramund]

[11:17:07] xxxxxx_admin: блин. чтоб эти ДДОСеры сдохли! валят кого-то политично-выборного, а лежит до куч и все у нас

[11:17:20] Константин: в вебальте?

[11:17:23] xxxxxx_admin: ага

 

началось :(

Проблемы с cat26 у GT.

[flx]

вот теперь точно началось...

[faramund]

вот теперь точно началось...

Да, только что саппорт GT отписался о DDoS.

[flx]

ну без сенсаций...

[kostich]

а чего валят хоть?

[visir]

Када уже веб-выборы20-12 завалят-то? :D

[flx]

не завалят.

[visir]

не завалят.

скучно :(

[st_re]

Случилось ? Или время оплаченного сеанса вышло ? У меня ни чего не кажет....

[SoulDivider]

"специалисты определили, что речь идет об электромагнитном воздействии на сайт" ©Леонид Ивлев

http://news.argumenti.ru/society/2012/03/161620

[kostich]

"специалисты определили, что речь идет об электромагнитном воздействии на сайт" ©Леонид Ивлев

http://news.argumenti.ru/society/2012/03/161620

 

а я про этот баян только сегодня узнал... смех полезен конечно, но не в таких объемах... еле отпустило.