Jump to content

Оборудование для защиты от DDoS атак

pavel.odintsov
 Share

Recommended Posts

pavel.odintsov

pavel.odintsov

Posted
Posted (edited)

День добрый, коллеги :)

 

Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.

 

Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам.

 

Что хочется получить:

  • защиту от syn флуда
  • защиту от http флуда
  • оффлоадинг/быструю обработку SSL
  • эвристическую фильтрацию на основании "кармы" IP адреса/сети
  • эвристическую/шаблонную фильтрацию на основании базы данных атак
  • возможность добавлять своим правила

 

Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :)

 

По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :(

Edited by pavel.odintsov
  • Replies 55
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Ну, если у микротика отбив идет на таком уровне http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking, то он вне игры, ибо даже у iptables с патчами xtables фич больше, но это же не средство защиту от атак - это инструмент, не более.

 

Ведь основное желание - устройство, которое будет требовать минимум заботы и контроля. Разумеется, я понимаю, что любую атаку не отбить, но пока хватает канала и пока атака не подстраивается кастомно - ничего нереального в ее отбое я не вижу, честно говоря.

 

Но если я не прав и есть спец железки - поправьте, с радостью посмотрим.

Lynx10

Lynx10

Posted
Posted

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

блин ....

вам не надоело мт пихать

ТС вроде понятно поставил задачу

ваш микротик тут не к месту....

flamaster

flamaster

Posted
Posted

локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту.

 

p.s МТ это смешно...

+1

Либо ставить устройство для защиты от DDOS атак на площадке аплинка.

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Да блин, ребята, давайте не уходить в крайности. Это я к "не отбиться" / "ставить оборудование у аплинка". У нас по 5-10 атак ежесуточно, да, есть те, которые забивают до 3-4 гигабит, есть и до 10-15, все бывает, но подавляющее большинство атак - это от силы 1000 запросов/секунду с пары десятков ботов на http шлюз. И такая атака гарантированно выведет из строя любой веб-сервер. Хотя она смешная. И отбить ее можно руками (без привлечения сетевого железа в принципе), но это очень затратно (время сетевых инженеров) и долго (анализ типа атаки и принятие мер).

alibek

alibek

Posted
Posted

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

Согласен.

Корпус прочный, железный, если таким дать спамеру по голове, то спамер спамить перестанет — устройство задачу выполнит.

darkagent

darkagent

Posted
Posted

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

mcdemon

mcdemon

Posted
Posted

Cisco SCE для таких задач не предназначен.

И никто так и не отписался толком о том, что защита действительно работает)

myst

myst

Posted
Posted

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

Серьезные решения которые не работают.

darkagent

darkagent

Posted
Posted

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

myst

myst

Posted
Posted

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

Надо начинать открывать документацию с момента начала дидоса.

Открыть, вникнуть что это такое, понять что защититься можно только на вышестоящем аплинке (да и то не всегда) и закрыть нафиг.

Вот что такое защита от дидоса. Все остальное профанация.

dignity

dignity

Posted
Posted

AFAIK, F5 для DDoS не совсем по профилю. ИМХО, железные решения для защиты от любого DDoS не предусмотрены. В основном, типовые syn flood.

darkagent

darkagent

Posted
Posted

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

myst

myst

Posted
Posted

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

myst

myst

Posted
Posted

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

Если вы правда в это верите, мои вам саболезнования.

Вам и вашей конторе.

pfexec

pfexec

Posted
Posted
Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.
несколько гигабит - это всё еще копейки. если весь мир не умеет настраивать ntp, который мультиплексирует атаку в >500 раз, то этот мир спасет только армагеддон. или блэкхол. :)

 

нет способа отбиться от ддоса кроме выявление таргета и его блэкхола. т.е. ддос в любом случае будет успешен, но с блэкхолом не пострадают остальные клиенты датацентра.

чтобы "фильтровать" и "защищать" от ддоса, нужны поистине резиновые каналы. в относительно разумных пределах это не решабельная задача.

 

вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу.

 

а бороться с syn-флудом и т.п. мелочами можно средствами самого сервера вполне успешно, вон на забре полно статей на эту тему.

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

pfexec, "вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу." - это не защита от атак. Это защита оборудования. Тем более если использовать netflow есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет, для анализа такого мы нарисовали простенький сканер работающий в реальном времени до 10mpps (ну синтетики, к счаситю): http://forum.nag.ru/forum/index.php?showtopic=89703&st=0

 

А вопрос по-прежнему открыт. Но, простите, myst, Вас я далее слушать отказываюсь. Если Вы считаете, что только Вы знаете что такое атаки и как их избегать - смею Вас огорчить, в присутствии некоторых людей в этой теме такое говорить просто стремно (намекаю про Брянск) :)

pfexec

pfexec

Posted
Posted
есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет
вариант с парсером интересный, надо посмотреть. какой пакетсайз имеется ввиду при расчете 2-4Мппс кончится сеть ? этот парсер подключается линком в сумму всех внешних линков ? или самплируются пакеты для миррора ?
этой теме такое говорить просто стремно (намекаю про Брянск)
а что там в брянске ? резиновые линки ?
Saab95

Saab95

Posted
Posted

Ну так арендуйте датацентры по всей стране, в них по BGP аоносируйте свои сети, далее от них по туннелям передавайте данные в единый центр, который сам ничего не анонсирует. Если идет атака, то она обычно приходит по одному или нескольких направлениях, просто блокируете трафик от тех серверов BGP, которые в центр атаку передают, все остальные направления продолжат работать без проблем.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.