[pavel.odintsov]

День добрый, коллеги :)

 

Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.

 

Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам.

 

Что хочется получить:

• защиту от syn флуда
  
• защиту от http флуда
  
• оффлоадинг/быструю обработку SSL
  
• эвристическую фильтрацию на основании "кармы" IP адреса/сети
  
• эвристическую/шаблонную фильтрацию на основании базы данных атак
  
• возможность добавлять своим правила
  

 

Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :)

 

По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :(

Изменено 13 февраля, 2014 пользователем pavel.odintsov

[Saab95]

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

[pavel.odintsov]

Ну, если у микротика отбив идет на таком уровне http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking, то он вне игры, ибо даже у iptables с патчами xtables фич больше, но это же не средство защиту от атак - это инструмент, не более.

 

Ведь основное желание - устройство, которое будет требовать минимум заботы и контроля. Разумеется, я понимаю, что любую атаку не отбить, но пока хватает канала и пока атака не подстраивается кастомно - ничего нереального в ее отбое я не вижу, честно говоря.

 

Но если я не прав и есть спец железки - поправьте, с радостью посмотрим.

[Lynx10]

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

блин ....

вам не надоело мт пихать

ТС вроде понятно поставил задачу

ваш микротик тут не к месту....

[applx]

локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту.

 

p.s МТ это смешно...

[flamaster]

локально от ДДоС ни каким раком не спасётесь либо у аплинка просить помощи или покупать защиту.

 

p.s МТ это смешно...

+1

Либо ставить устройство для защиты от DDOS атак на площадке аплинка.

[pavel.odintsov]

Да блин, ребята, давайте не уходить в крайности. Это я к "не отбиться" / "ставить оборудование у аплинка". У нас по 5-10 атак ежесуточно, да, есть те, которые забивают до 3-4 гигабит, есть и до 10-15, все бывает, но подавляющее большинство атак - это от силы 1000 запросов/секунду с пары десятков ботов на http шлюз. И такая атака гарантированно выведет из строя любой веб-сервер. Хотя она смешная. И отбить ее можно руками (без привлечения сетевого железа в принципе), но это очень затратно (время сетевых инженеров) и долго (анализ типа атаки и принятие мер).

[darkagent]

http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf

[n0_name]

если без экзотики, то может SRX ?

[alibek]

Попробуйте микротик, первые два пункта он точно сможет выполнить, да и цена не высокая.

Согласен.

Корпус прочный, железный, если таким дать спамеру по голове, то спамер спамить перестанет — устройство задачу выполнит.

[darkagent]

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

[mcdemon]

Cisco SCE для таких задач не предназначен.

И никто так и не отписался толком о том, что защита действительно работает)

[myst]

если без экзотики, то может SRX ?

Зависит от уровня анализа, конкретики задач и прочего. Для начального варианта вполне можно и Juniper SRX и Cisco SCE, но если у ТСа в планах строительство чего-то серьезного, то и решения потребуются серьезные.

Серьезные решения которые не работают.

[darkagent]

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

[myst]

Серьезные решения которые не работают.

Во всяких насдаках и веризонах работают же F5. Понятное дело что там не одной железкой все решаемо, а исключительно комплексами, но все ж с чего-то начинают.

Если у вас не заработало серьезное решение - значит пора открывать документацию ;)

Надо начинать открывать документацию с момента начала дидоса.

Открыть, вникнуть что это такое, понять что защититься можно только на вышестоящем аплинке (да и то не всегда) и закрыть нафиг.

Вот что такое защита от дидоса. Все остальное профанация.

[Дятел]

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

[dignity]

AFAIK, F5 для DDoS не совсем по профилю. ИМХО, железные решения для защиты от любого DDoS не предусмотрены. В основном, типовые syn flood.

[darkagent]

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

[myst]

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

[pavel.odintsov]

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

[myst]

Пустить трафик через Брянск, пускай защитой занимаются профи....или их пустить к себе...

 

На правах рекламы они итак наши партнеры =) Но гонять трафик через пол мира к ним весьма дорогостоящее занятие не в плане финансов, в плане серьезного роста латенси и двойной оплаты канальных мощностей.

 

Так собсна ТС начал с того что первоочередно решать проблему будет на уровне действующей сети, но в довесок хочет доставить хитрожопый девайс против хитрожопых атак.

Ну так наша задача рассказать ТС что защиты от ДИДОСа быть не может...

 

Не надо ТСу это рассказывать :) Правда)

 

http://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf

 

Объем моей благодарности за Ваши ответы на наши вопросы уже приближается к почти ящику! :) Спасибо! Все перебрали, а вот F5 - самое очевидное мы забыли. Попробуем запросить их ценники.

Если вы правда в это верите, мои вам саболезнования.

Вам и вашей конторе.

[pfexec]

Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.

несколько гигабит - это всё еще копейки. если весь мир не умеет настраивать ntp, который мультиплексирует атаку в >500 раз, то этот мир спасет только армагеддон. или блэкхол. :)

 

нет способа отбиться от ддоса кроме выявление таргета и его блэкхола. т.е. ддос в любом случае будет успешен, но с блэкхолом не пострадают остальные клиенты датацентра.

чтобы "фильтровать" и "защищать" от ддоса, нужны поистине резиновые каналы. в относительно разумных пределах это не решабельная задача.

 

вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу.

 

а бороться с syn-флудом и т.п. мелочами можно средствами самого сервера вполне успешно, вон на забре полно статей на эту тему.

[pavel.odintsov]

pfexec, "вобщем вам нужна IDS которая будет находить таргет ддос атаки, кидать его в блэкхол и всех оповещать. для этого не обязательно дорогое оборудование. спалить таргет можно и в нетфлоу." - это не защита от атак. Это защита оборудования. Тем более если использовать netflow есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет, для анализа такого мы нарисовали простенький сканер работающий в реальном времени до 10mpps (ну синтетики, к счаситю): http://forum.nag.ru/forum/index.php?showtopic=89703&st=0

 

А вопрос по-прежнему открыт. Но, простите, myst, Вас я далее слушать отказываюсь. Если Вы считаете, что только Вы знаете что такое атаки и как их избегать - смею Вас огорчить, в присутствии некоторых людей в этой теме такое говорить просто стремно (намекаю про Брянск) :)

[pfexec]

есть огромный шанс проморгать момент когда атака достигнет 2-4MPPS и все и вся умрет

вариант с парсером интересный, надо посмотреть. какой пакетсайз имеется ввиду при расчете 2-4Мппс кончится сеть ? этот парсер подключается линком в сумму всех внешних линков ? или самплируются пакеты для миррора ?

этой теме такое говорить просто стремно (намекаю про Брянск)

а что там в брянске ? резиновые линки ?

[Saab95]

Ну так арендуйте датацентры по всей стране, в них по BGP аоносируйте свои сети, далее от них по туннелям передавайте данные в единый центр, который сам ничего не анонсирует. Если идет атака, то она обычно приходит по одному или нескольких направлениях, просто блокируете трафик от тех серверов BGP, которые в центр атаку передают, все остальные направления продолжат работать без проблем.