Jump to content
Калькуляторы

Оборудование для защиты от DDoS атак Подыскиваем оборудование для защиты

День добрый, коллеги :)

 

Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.

 

Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам.

 

Что хочется получить:

  • защиту от syn флуда
  • защиту от http флуда
  • оффлоадинг/быструю обработку SSL
  • эвристическую фильтрацию на основании "кармы" IP адреса/сети
  • эвристическую/шаблонную фильтрацию на основании базы данных атак
  • возможность добавлять своим правила

 

Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :)

 

По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :(

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

Share this post


Link to post
Share on other sites

Ну, если у микротика отбив идет на таком уровне http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking, то он вне игры, ибо даже у iptables с патчами xtables фич больше, но это же не средство защиту от атак - это инструмент, не более.

 

Ведь основное желание - устройство, которое будет требовать минимум заботы и контроля. Разумеется, я понимаю, что любую атаку не отбить, но пока хватает канала и пока атака не подстраивается кастомно - ничего нереального в ее отбое я не вижу, честно говоря.

 

Но если я не прав и есть спец железки - поправьте, с радостью посмотрим.

Share this post


Link to post
Share on other sites

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

блин ....

вам не надоело мт пихать

ТС вроде понятно поставил задачу

ваш микротик тут не к месту....

Share this post


Link to post
Share on other sites

локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту.

 

p.s МТ это смешно...

Share this post


Link to post
Share on other sites

локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту.

 

p.s МТ это смешно...

+1

Либо ставить устройство для защиты от DDOS атак на площадке аплинка.

Share this post


Link to post
Share on other sites

Да блин, ребята, давайте не уходить в крайности. Это я к "не отбиться" / "ставить оборудование у аплинка". У нас по 5-10 атак ежесуточно, да, есть те, которые забивают до 3-4 гигабит, есть и до 10-15, все бывает, но подавляющее большинство атак - это от силы 1000 запросов/секунду с пары десятков ботов на http шлюз. И такая атака гарантированно выведет из строя любой веб-сервер. Хотя она смешная. И отбить ее можно руками (без привлечения сетевого железа в принципе), но это очень затратно (время сетевых инженеров) и долго (анализ типа атаки и принятие мер).

Share this post


Link to post
Share on other sites

если без экзотики, то может SRX ?

Share this post


Link to post
Share on other sites

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

Согласен.

Корпус прочный, железный, если таким дать спамеру по голове, то спамер спамить перестанет — устройство задачу выполнит.

Share this post


Link to post
Share on other sites

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

Share this post


Link to post
Share on other sites

Cisco SCE для таких задач не предназначен.

И никто так и не отписался толком о том, что защита действительно работает)

Share this post


Link to post
Share on other sites

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

Серьезные решения которые не работают.

Share this post


Link to post
Share on other sites

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

Share this post


Link to post
Share on other sites

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

Надо начинать открывать документацию с момента начала дидоса.

Открыть, вникнуть что это такое, понять что защититься можно только на вышестоящем аплинке (да и то не всегда) и закрыть нафиг.

Вот что такое защита от дидоса. Все остальное профанация.

Share this post


Link to post
Share on other sites

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

Share this post


Link to post
Share on other sites

AFAIK, F5 для DDoS не совсем по профилю. ИМХО, железные решения для защиты от любого DDoS не предусмотрены. В основном, типовые syn flood.

Share this post


Link to post
Share on other sites

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Share this post


Link to post
Share on other sites

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

Share this post


Link to post
Share on other sites

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

Share this post


Link to post
Share on other sites

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

Если вы правда в это верите, мои вам саболезнования.

Вам и вашей конторе.

Share this post


Link to post
Share on other sites
Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.
несколько гигабит - это всё еще копейки. если весь мир не умеет настраивать ntp, который мультиплексирует атаку в >500 раз, то этот мир спасет только армагеддон. или блэкхол. :)

 

нет способа отбиться от ддоса кроме выявление таргета и его блэкхола. т.е. ддос в любом случае будет успешен, но с блэкхолом не пострадают остальные клиенты датацентра.

чтобы "фильтровать" и "защищать" от ддоса, нужны поистине резиновые каналы. в относительно разумных пределах это не решабельная задача.

 

вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу.

 

а бороться с syn-флудом и т.п. мелочами можно средствами самого сервера вполне успешно, вон на забре полно статей на эту тему.

Share this post


Link to post
Share on other sites

pfexec, "вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу." - это не защита от атак. Это защита оборудования. Тем более если использовать netflow есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет, для анализа такого мы нарисовали простенький сканер работающий в реальном времени до 10mpps (ну синтетики, к счаситю): http://forum.nag.ru/forum/index.php?showtopic=89703&st=0

 

А вопрос по-прежнему открыт. Но, простите, myst, Вас я далее слушать отказываюсь. Если Вы считаете, что только Вы знаете что такое атаки и как их избегать - смею Вас огорчить, в присутствии некоторых людей в этой теме такое говорить просто стремно (намекаю про Брянск) :)

Share this post


Link to post
Share on other sites
есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет
вариант с парсером интересный, надо посмотреть. какой пакетсайз имеется ввиду при расчете 2-4Мппс кончится сеть ? этот парсер подключается линком в сумму всех внешних линков ? или самплируются пакеты для миррора ?
этой теме такое говорить просто стремно (намекаю про Брянск)
а что там в брянске ? резиновые линки ?

Share this post


Link to post
Share on other sites

Ну так арендуйте датацентры по всей стране, в них по BGP аоносируйте свои сети, далее от них по туннелям передавайте данные в единый центр, который сам ничего не анонсирует. Если идет атака, то она обычно приходит по одному или нескольких направлениях, просто блокируете трафик от тех серверов BGP, которые в центр атаку передают, все остальные направления продолжат работать без проблем.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this