zi_rus Опубликовано 16 февраля, 2014 · Жалоба это так, навскидку. что это может дать самому ISP пока не вижу, надо RFC почитатьсуть flowspec'а в отправлении по bgp каких-то политик фильтрации или рейтлимита своему соседу. отличная технология, мне нравится. но применительно к сабжекту не интересна для ISP, т.к. внезапно оказывается что ISP занимается "защитой" от DDoS'а. ему за это никто не платит, он загружает трафиком свою сеть или ее границу -> ему это не интересно.блэкхол - это компромис между ISP и кастомером. дропаем весь трафик на таргет и рассказываем своим апстримам и пир-партнерам делать так же -> отбились от ddos'а малой кровью недоступности лишь таргета атаки, а не всей сети где этот таргет расположен. другого тут не будет. я же сказал, доп услуга, никто не продает, никто и не покупает. продавайте и у вас ее купят за деньги. не вижу почему операторы не могут продавать анти-ддос, iptv и voip для физиков вполне пошли. (продавать это значит получать деньги в обмен на услугу) blackhole не компромис, это решение для оператора, чтобы не нагружать инфраструктуру, но кастомеру от этого ни горячо, ни холодно, его сервис недоступен, значит ддос работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 16 февраля, 2014 · Жалоба blackhole не компромис, это решение для оператора, чтобы не нагружать инфраструктуру, но кастомеру от этого ни горячо, ни холодно, его сервис недоступен, значит ддос работаетв том и смысл: ддос удался - нет смысла эскалировать атаку. так то "назащищаться" можно до нескольих сотен гигабит ддоса в летсо, что наверно не для всех мкадных операторов то "семечки", а уж для замкадных - тем более. компромисс он не между оператором и жертвой, а между оператором и заказчиком атаки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 17 февраля, 2014 · Жалоба День добрый, коллеги :) Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса. Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам. Что хочется получить: защиту от syn флуда защиту от http флуда оффлоадинг/быструю обработку SSL эвристическую фильтрацию на основании "кармы" IP адреса/сети эвристическую/шаблонную фильтрацию на основании базы данных атак возможность добавлять своим правила Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :) По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :( На моей памяти - арбор http://www.arbornetworks.com/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sui245 Опубликовано 17 февраля, 2014 · Жалоба Вставлю и свои пять копеек http://www.checkpoint.com/products/ddos-protector/index.html это конечно не таер 1. Но тоже не плохо. )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 19 февраля, 2014 · Жалоба Друзья! Спасибо всем-всем-всем за ответы! Будем набирать оборудование на тест и пытаться его заддосить) Если будет позитивный фидбэк и явный лидер - обязательно нарисуем отчет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redefine Опубликовано 26 февраля, 2014 · Жалоба Приветствую! Ваша задача понятна - отбиться от атак на канал связи, как Вы полагаете, Вы сможете и сами, но Вам нужна защита против L4-L7 DDoS. Вот пример решения похожей задачи - http://habrahabr.ru/company/timeweb/blog/175919/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...