[zi_rus]

это так, навскидку. что это может дать самому ISP пока не вижу, надо RFC почитать

суть flowspec'а в отправлении по bgp каких-то политик фильтрации или рейтлимита своему соседу. отличная технология, мне нравится. но применительно к сабжекту не интересна для ISP, т.к. внезапно оказывается что ISP занимается "защитой" от DDoS'а. ему за это никто не платит, он загружает трафиком свою сеть или ее границу -> ему это не интересно.

блэкхол - это компромис между ISP и кастомером. дропаем весь трафик на таргет и рассказываем своим апстримам и пир-партнерам делать так же -> отбились от ddos'а малой кровью недоступности лишь таргета атаки, а не всей сети где этот таргет расположен. другого тут не будет.

я же сказал, доп услуга, никто не продает, никто и не покупает. продавайте и у вас ее купят за деньги. не вижу почему операторы не могут продавать анти-ддос, iptv и voip для физиков вполне пошли. (продавать это значит получать деньги в обмен на услугу)

 

blackhole не компромис, это решение для оператора, чтобы не нагружать инфраструктуру, но кастомеру от этого ни горячо, ни холодно, его сервис недоступен, значит ддос работает

[pfexec]

blackhole не компромис, это решение для оператора, чтобы не нагружать инфраструктуру, но кастомеру от этого ни горячо, ни холодно, его сервис недоступен, значит ддос работает

в том и смысл: ддос удался - нет смысла эскалировать атаку.

 

так то "назащищаться" можно до нескольих сотен гигабит ддоса в летсо, что наверно не для всех мкадных операторов то "семечки", а уж для замкадных - тем более.

компромисс он не между оператором и жертвой, а между оператором и заказчиком атаки.

[pers123]

День добрый, коллеги :)

 

Встала задачка защитить веб-сервисы (http/https) в собственном ДЦ от DoS/DDoS атак довольно приличной мощности (несколько гигабит, до 500 000 pps). Интересует именно защита, то есть не просто отсечь/залочить паразитный трафик, но и сохранить работу ресурса.

 

Часть мер по защите планируем выполнять на уровне существующей сетевой инфраструктуры (фильтрация по протоколам/подсетям), а все остальное отдать на откуп спец дивайсам.

 

Что хочется получить:

• защиту от syn флуда
  
• защиту от http флуда
  
• оффлоадинг/быструю обработку SSL
  
• эвристическую фильтрацию на основании "кармы" IP адреса/сети
  
• эвристическую/шаблонную фильтрацию на основании базы данных атак
  
• возможность добавлять своим правила
  

 

Иными словами на выходе с устройства должен быть по возможности чистый трафик, без злоупотреблений :)

 

По производительности решения начать хотелось бы с гигабита/500 kpps. Мы пока знакомы более-менее лишь с линейкой Barracuda WAF/NG, но еще нет четкого пониамния, плохо оно или хорошо. Также нашли решения от A10 Networks, но практической инфорации о них почти нету :(

На моей памяти - арбор http://www.arbornetworks.com/

[sui245]

Вставлю и свои пять копеек http://www.checkpoint.com/products/ddos-protector/index.html это конечно не таер 1. Но тоже не плохо. ))

[pavel.odintsov]

Друзья! Спасибо всем-всем-всем за ответы! Будем набирать оборудование на тест и пытаться его заддосить) Если будет позитивный фидбэк и явный лидер - обязательно нарисуем отчет.

[redefine]

Приветствую!

 

Ваша задача понятна - отбиться от атак на канал связи, как Вы полагаете, Вы сможете и сами, но Вам нужна защита против L4-L7 DDoS.

 

Вот пример решения похожей задачи - http://habrahabr.ru/company/timeweb/blog/175919/