pavel.odintsov Опубликовано 13 февраля, 2014 (изменено) · Жалоба День добрый, коллеги :) Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса. Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам. Что хочется получить: защиту от syn флуда защиту от http флуда оффлоадинг/быструю обработку SSL эвристическую фильтрацию на основании "кармы" IP адреса/сети эвристическую/шаблонную фильтрацию на основании базы данных атак возможность добавлять своим правила Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :) По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :( Изменено 13 февраля, 2014 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 февраля, 2014 · Жалоба Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 13 февраля, 2014 · Жалоба Ну, если у микротика отбив идет на таком уровне http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking, то он вне игры, ибо даже у iptables с патчами xtables фич больше, но это же не средство защиту от атак - это инструмент, не более. Ведь основное желание - устройство, которое будет требовать минимум заботы и контроля. Разумеется, я понимаю, что любую атаку не отбить, но пока хватает канала и пока атака не подстраивается кастомно - ничего нереального в ее отбое я не вижу, честно говоря. Но если я не прав и есть спец железки - поправьте, с радостью посмотрим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 14 февраля, 2014 · Жалоба Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая. блин .... вам не надоело мт пихать ТС вроде понятно поставил задачу ваш микротик тут не к месту.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 14 февраля, 2014 · Жалоба локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту. p.s МТ это смешно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 14 февраля, 2014 · Жалоба локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту. p.s МТ это смешно... +1 Либо ставить устройство для защиты от DDOS атак на площадке аплинка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 14 февраля, 2014 · Жалоба Да блин, ребята, давайте не уходить в крайности. Это я к "не отбиться" / "ставить оборудование у аплинка". У нас по 5-10 атак ежесуточно, да, есть те, которые забивают до 3-4 гигабит, есть и до 10-15, все бывает, но подавляющее большинство атак - это от силы 1000 запросов/секунду с пары десятков ботов на http шлюз. И такая атака гарантированно выведет из строя любой веб-сервер. Хотя она смешная. И отбить ее можно руками (без привлечения сетевого железа в принципе), но это очень затратно (время сетевых инженеров) и долго (анализ типа атаки и принятие мер). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 14 февраля, 2014 · Жалоба http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0_name Опубликовано 14 февраля, 2014 · Жалоба если без экзотики, то может SRX ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 февраля, 2014 · Жалоба Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая. Согласен. Корпус прочный, железный, если таким дать спамеру по голове, то спамер спамить перестанет — устройство задачу выполнит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 14 февраля, 2014 · Жалоба если без экзотики, то может SRX ? Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 февраля, 2014 · Жалоба Cisco SCE для таких задач не предназначен. И никто так и не отписался толком о том, что защита действительно работает) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 февраля, 2014 · Жалоба если без экзотики, то может SRX ? Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные. Серьезные решения которые не работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 14 февраля, 2014 · Жалоба Серьезные решения которые не работают. Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают. Если у вас не заработало серьезное решение - значит пора открывать документацию ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 февраля, 2014 · Жалоба Серьезные решения которые не работают. Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают. Если у вас не заработало серьезное решение - значит пора открывать документацию ;) Надо начинать открывать документацию с момента начала дидоса. Открыть, вникнуть что это такое, понять что защититься можно только на вышестоящем аплинке (да и то не всегда) и закрыть нафиг. Вот что такое защита от дидоса. Все остальное профанация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 14 февраля, 2014 · Жалоба Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 14 февраля, 2014 · Жалоба AFAIK, F5 для DDoS не совсем по профилю. ИМХО, железные решения для защиты от любого DDoS не предусмотрены. В основном, типовые syn flood. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 14 февраля, 2014 · Жалоба Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 февраля, 2014 · Жалоба Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак. Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 14 февраля, 2014 · Жалоба Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе... На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей. Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак. Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может... Не надо ТСу это рассказывать :) Правда) http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 февраля, 2014 · Жалоба Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе... На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей. Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак. Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может... Не надо ТСу это рассказывать :) Правда) http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники. Если вы правда в это верите, мои вам саболезнования. Вам и вашей конторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 14 февраля, 2014 · Жалоба Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.несколько гигабит - это всё еще копейки. если весь мир не умеет настраивать ntp, который мультиплексирует атаку в >500 раз, то этот мир спасет только армагеддон. или блэкхол. :) нет способа отбиться от ддоса кроме выявление таргета и его блэкхола. т.е. ддос в любом случае будет успешен, но с блэкхолом не пострадают остальные клиенты датацентра. чтобы "фильтровать" и "защищать" от ддоса, нужны поистине резиновые каналы. в относительно разумных пределах это не решабельная задача. вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу. а бороться с syn-флудом и т.п. мелочами можно средствами самого сервера вполне успешно, вон на забре полно статей на эту тему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 14 февраля, 2014 · Жалоба pfexec, "вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу." - это не защита от атак. Это защита оборудования. Тем более если использовать netflow есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет, для анализа такого мы нарисовали простенький сканер работающий в реальном времени до 10mpps (ну синтетики, к счаситю): http://forum.nag.ru/forum/index.php?showtopic=89703&st=0 А вопрос по-прежнему открыт. Но, простите, myst, Вас я далее слушать отказываюсь. Если Вы считаете, что только Вы знаете что такое атаки и как их избегать - смею Вас огорчить, в присутствии некоторых людей в этой теме такое говорить просто стремно (намекаю про Брянск) :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 14 февраля, 2014 · Жалоба есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умретвариант с парсером интересный, надо посмотреть. какой пакетсайз имеется ввиду при расчете 2-4Мппс кончится сеть ? этот парсер подключается линком в сумму всех внешних линков ? или самплируются пакеты для миррора ?этой теме такое говорить просто стремно (намекаю про Брянск)а что там в брянске ? резиновые линки ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 февраля, 2014 · Жалоба Ну так арендуйте датацентры по всей стране, в них по BGP аоносируйте свои сети, далее от них по туннелям передавайте данные в единый центр, который сам ничего не анонсирует. Если идет атака, то она обычно приходит по одному или нескольких направлениях, просто блокируете трафик от тех серверов BGP, которые в центр атаку передают, все остальные направления продолжат работать без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...