[gsmail]

Занимаемся хостингом. Трафик небольшой, порядка 150-200мбит/c, бюджет небольшой, раз в неделю ддосят какого-то клиента. Канал перегружается и все ложится. Помогает блекхол, но косяк уже есть, клиенты жалуются.

Динамические каналы никто не продает в городе, гарантированный покупать не реально.

Чтобы такое можно было предпринять за не очень дорого.

 

Думаем брать динамические каналы на IX: MSK, DE там фильтровать и потом уже по узкому тунелю в наш город. Насколько это решение?

Может кто-то что-то предложить? Может посоветовать?

Изменено 18 июля, 2014 пользователем gsmail

[MMM]

варианты:

1) подарите этого клиента конкурентам

2) предложите клиенту воспользоваться внешними сервисами anti ddos , тот же cloudflare вообще бесплатно.

[gsmail]

1) подарите этого клиента конкурентам

2) предложите клиенту воспользоваться внешними сервисами anti ddos , тот же cloudflare вообще бесплатно.

А как определить заранее того "кого подарить" или "кому предложить"?

Изменено 18 июля, 2014 пользователем gsmail

[MMM]

netflow же?

 

или у вас всех досят?

[vlad11]

Мало емкости каналов.

ШколоДДоС легко ложит хостера с каналами меньше гигабита.

[gsmail]

Кто-то может предложить что-то конкретное? Например дать какие-то IX на скорости до 10G за недорого, обычно использоваться будет небольшой процент.

[davej]

Основные методы борьбы:

1. Подключите канал 10Gbps. Поговорите с провайдерами, некоторые могут согласиться раз в неделю принимать короткую атаку. С 10Gbps у вас будет заметно больше шансов выдержать.

2. С netflow анализируйте трафик и автоматически блекхольте атакуемого. В этом вам может помочь nfdump.

3. Введите политику автоматического оповещения клиента и правило двух предупреждений. К сожалению, вы ничего не можете поделать и клиенту надо купить защиту у стороннего оператора.

[twh.mega]

Самый правильный вариант в данном случае будет перенести серверы хостинга туда, где каналы пошире, продаваны аплинков поадекватней, а инженеры не боятся слов типа bgp flowspec или, если нет техвозможности, хотя бы автоматически выставляемых фильтров на вашем интерфейсе. Дальше несколько гигабитных портов с оплатой мелкой полосы по 95-процентили и вас большинство ДДоС-ов и волновать-то особо не будут.

 

Если в городе с каналами проблемы, то хостинг там держать не очень хорошо. Да, если сервера будут стоять в другом городе - это головняк, доп.расходы, и нужно больше резервировать, но если на вас раз в неделю ДДоС-ы идут с перерывом сервиса для всех клиентов, то у вас репутационные потери возможно уже больше. И, кстати, блэкхол - это самый дурацкий способ борьбы с ДДоС, потому что это значит, что ДДоС удался, заказчик его закажет снова, а ДДоС-ер не постесняется по накатанной снова ботнет зарядить.

[pfexec]

Самый правильный вариант в данном случае будет перенести серверы хостинга туда, где каналы пошире, продаваны аплинков поадекватней, а инженеры не боятся слов типа bgp flowspec или, если нет техвозможности, хотя бы автоматически выставляемых фильтров на вашем интерфейсе. Дальше несколько гигабитных портов с оплатой мелкой полосы по 95-процентили и вас большинство ДДоС-ов и волновать-то особо не будут.

 

Если в городе с каналами проблемы, то хостинг там держать не очень хорошо. Да, если сервера будут стоять в другом городе - это головняк, доп.расходы, и нужно больше резервировать, но если на вас раз в неделю ДДоС-ы идут с перерывом сервиса для всех клиентов, то у вас репутационные потери возможно уже больше. И, кстати, блэкхол - это самый дурацкий способ борьбы с ДДоС, потому что это значит, что ДДоС удался, заказчик его закажет снова, а ДДоС-ер не постесняется по накатанной снова ботнет зарядить.

blackhole это единственно верный способ отбить DDoS для тех кто не специализируется на защите от DDoS'а. Надо понимать, что за тот трафик, который вы собираетесь "просить" аплинка фильтровать при помощи bgp flowspec или чего-то еще, никуда не денется и кто-то за него должен будет заплатить. В данном случае не вы, а ваш аплинк, коли уж трафик до вас так и не дошел. А теперь внимание вопрос: какой интерес вашему аплинку утилизировать каналы трафиком, предназначенному для вас, и не получать за него денег ?

Правильно, никакого. Поэтому существуют отдельные организации, которые занимаются защитами от ддосов и прочего. Хотите защиты ? покупайте у них и платите им. Не хотите платить - пользуйте блэкхол.

Даже если ваша суммарная емкость границы сети несколько десятков Gbps и даже может быть >100Gbps, то это никак не значит что вы можете её утилизировать чьим-то ддосом кого-то защищая. Тут как бы две проблемы: во-первых, за утилизацию каналов вам так или иначе придется платить, а во-вторых, нет проблемы эскалировать DDoS атаку, тем более в таких не очень больших объёмах. Сколько там последний раз на cloudflare приехало ? что-то там ~300Gbps, емнип.

Даже сидя жопой между всеми крупными ix'ами и имея несколько жирных линков с тирванами такое пережить весьма и весьма не просто, и надо сказать стоит денег. А эскалировать атаку с пары сотен мегабит до нескольких гигабит вообще не проблема.

Теперь возвращаемся к вопросу о "ддос удался". Можно "дозащищаться" не просто до эскалации атаки, но и до атаки на весь ваш блок адресов. Вот уж тогда действительно никакие блэкхолы не помогут.

[twh.mega]

Blackhole это не защита клиента от ДДоС, это защита инфраструктуры (своей и аплинков) от ДДоС. Нет, он не является единственно верным, это решение на крайний случай, если больше ничего не помогает.

 

Аплинки бесплатно обычно это не делают :-) Но такие, которые предоставляют связность при наличии периодических ДДоС-ов, все же есть, и стоит это не так уж и много. Свои решения плюс аплинки с резервом обходятся дешевле, чем специализированные сервисы, а работает это в плане качества предоставления услуг лучше (потому что своё знаешь всегда лучше). Репутационных потерь (и как следствие разбегающихся клиентов) по сравнению с укладыванием пачки сайтов при первом же флуде на порядки ниже.

 

ДДоС-ы уровня тех, что прилетают порой на cloudflare, предельно редки (и как раз подходят под тот самый крайний случай). Самое смешное, что такие обьемы и масштабы ДДоС-еры обычно оставляют для того, чтобы заДДоС-ить какой-нибудь сайт своих же конкурентов, который лежит как правило...правильно, на cloudflare, чтобы защититься от ДДоС-а конкурентов :-) Тут уж они бросают все, что могут, целыми командами, и получаются такие страшные цифры. В реальной жизни на клиентов обычно прилетает от какого-нибудь script-kiddie с hping-ом на виртуалке с подломаным вордпрессом, или же начинающего ботовода с мелким ботнетиком. Чуток резерва - и сам не заметишь.

 

Эскалация ДДоС-а...маловероятно, если им не хватает своих сил, то конкурентам уровнем повыше своего клиента врядли отдадут :-) Клиенту наверняка говорится "ну не шмогла" и клиент на этом успокаивается вместо поисков кого-нибудь покруче.

 

Атака же в несколько гигабит операторам уровня повыше Зажопинска вообще ни о чем. Атака на блок адресов...смотря какая. Блэкхолом это не решить, зато прекрасно решается распределенными фильтрами и работой с аплинками, а то и даже не замечается.

 

Чуть ли не самая лучшая защита от ДДоС-а это некомпетентность ДДоС-ера, там головастых ребят не так уж и много, и платят таким более серьезные деньги за более серьезные задачи, чем завалить мелкий сайтик на хостинге, поэтому чего-то более сложного ожидать можно, но редко. Если кто поумнее взялся и перебирает варианты, да, головняка побольше, но это даже интересно :-) Впрочем, такой пока был только один.

 

Уточню, задачи держать клиента на плаву несмотря ни на что не стоит, это не какой-нибудь банк, где принципиально важно держать сервис на плаву в любую погоду, этим пусть специализированные конторы и занимаются. Задача - отбивать мелкое и, если получится, среднее, снижая тем самым частоту ДДоС-ов, а не пытаться быть еще одним специализированным сервисом по защите. Если повалило так, что не удержать - да, тут уже blackhole. Но! Только после того, как хотя бы попытался отбить сам, иначе это повторится снова и снова. Раз в неделю - это, гм, очень дохрена на мой взгляд при таком трафике. На мой взгляд это отличный пример того, почему не надо блэкхолить все подряд.

 

Я не знаю, откуда у Вас такое впечатление, что ДДоС это что-то, от чего невозможно защититься кроме как блэкхолом или покупкой специализированного сервиса. По моему опыту это совсем не так.

[pfexec]

Аплинки бесплатно обычно это не делают :-) Но такие, которые предоставляют связность при наличии периодических ДДоС-ов, все же есть, и стоит это не так уж и много. Свои решения плюс аплинки с резервом обходятся дешевле, чем специализированные сервисы, а работает это в плане качества предоставления услуг лучше (потому что своё знаешь всегда лучше). Репутационных потерь (и как следствие разбегающихся клиентов) по сравнению с укладыванием пачки сайтов при первом же флуде на порядки ниже.

в россии почте все национальные операторы максимум что предоставляют это блэкхол на /24 и очень неохотно соглашаются на блэкхолы для /32. Ни о каких bgp flowspec понятное дело речи идти не может, тем более что я бы постеснялся делать flowspec стыки с чужими сетями, равно как и они явно постесняются.

тир1 и тир2 операторы отличаются лишь тем что как раз наоборот не принимают блэкхолы крупнее /32 и ограничивают тебя префикс-лимитом, но и среди них не редкость те у которых блэкхол комунити нет вообще. о каких флоуспеках тут идти может речь я не знаю. к тому же cisco маршрутизаторы так то никуда не делись.

В реальной жизни на клиентов обычно прилетает от какого-нибудь script-kiddie

Эскалация ДДоС-а...маловероятно

Атака же в несколько гигабит операторам уровня повыше Зажопинска вообще ни о чем. Атака на блок адресов...смотря какая. Блэкхолом это не решить, зато прекрасно решается распределенными фильтрами и работой с аплинками, а то и даже не замечается.

IRL схватить флуда на 20+Gbps ниразу не редкость, а уж мелоч по 1-2Gbps вообще не берем в расчет.

ненужны никакие скрипткидди, ддос в несколько Gbps стоит копейки и даже ддосом то не называется.

вам то какая разница с каким dstip к вам прилетит надцать гигабит ddos'а ? надцать гигабит та все равно будет занято. как это может быть "незаметно" ? но только блэкхолом на всю сеть можно будет отбиться, а смысла нет, если другой адресации не останется, да и что клиентам говорить... причем тут фильтры и что вы собрались с аплинком решать я не знаю. вы вообще пробовали с аплинком что-то решать ? если да, то прорекламируйте список тех "золотых" ребят, которые ценой емкости своей сети для вас у себя фильтры какие-то городили.

Чуть ли не самая лучшая защита от ДДоС-а это некомпетентность ДДоС-ера, там головастых ребят не так уж и много, и платят таким более серьезные деньги за более серьезные задачи, чем завалить мелкий сайтик на хостинге, поэтому чего-то более сложного ожидать можно, но редко. Если кто поумнее взялся и перебирает варианты, да, головняка побольше, но это даже интересно :-) Впрочем, такой пока был только один.

я может быть открою вам большую тайну, но вот это всё давно уже делает не человек. бот спокойно может проверять результат атаки и менять тип атаки согласно сценарию. и так от syn-флуда можно дойди до dns amplification, а там и эскалироваться до оплавления коннекторов у патчиков :)

Задача - отбивать мелкое и, если получится, среднее,

мелкое и среднее отбивается фаерволом и сетевым тюнингом на самом таргете. если у клиента руки-крюки, то пусть наймет кого и заплатит денежку, ну или какой забразабр почитает.

почему не надо блэкхолить все подряд.

а никто не говорит блэкхолить всё подряд, я говорю что если количество трафика начинает выливаться за определенные рамки, то приходит время блэкхола, а до этого момента - это проблема абонента.

Я не знаю, откуда у Вас такое впечатление, что ДДоС это что-то, от чего невозможно защититься кроме как блэкхолом или покупкой специализированного сервиса. По моему опыту это совсем не так.

из опыта есессно.

[twh.mega]

Опыт у нас, очевидно, разный, но мы спорим не о том :-) Я говорю, что до некоего предела можно отбиваться без блэкхола и это уменьшает частоту ДДоС-ов, Вы начинаете приводить примеры за этим пределом, говоря, что эти меры не помогут отбить всё. Да, спасибо, я в курсе :-)

 

Убеждать Вас в том, что отбивать не запредельные атаки можно и нужно без блэкхола я Вас не стану, Ваша сеть и Вам виднее, что с ней делать, но меня убеждать в том, что у меня всего лишь два варианта, когда я знаю, что это не так, тоже не стоит :-)

 

Остальное можно личкой и обсудить, чтобы не флудить зря.

[Megas]

Хоть динамичный, хоть не динамичный. Если вашему аплинку свалится 50ГБ хотябы, а у вас всего 10ть, то все это до 5ой точки.

Точно так если доснут всю вашу подсеть, не будете же все блэкхолить.

Обычный до 10гб отбивается на soft wirewall, но толку от этого всего когда у вас такое что магистралы ложатся.

 

Так что стройте soft wirewall на базе двух и более тазиков, которые будут друг друга страховать.

Можете к себе к примеру проксировать трафик, разместить пару нормальных тазов у широких аплинков и проксировать уже к себе запросы клиентов.

[pfexec]

Опыт у нас, очевидно, разный, но мы спорим не о том :-)

да никто не спорит, это вы же начали:

зато прекрасно решается распределенными фильтрами и работой с аплинками, а то и даже не замечается.

что за работа с аплинками и кто эти аплинки, которые ради вас у себя по сети фильтры лепят и уж тем более bgp flowspec внедряют. больше похоже что вы лукавите и выдаете желаемое за действительное. но кто знает, не мне судить, но лично мне очень слабо верится в сказанное.

Можете к себе к примеру проксировать трафик, разместить пару нормальных тазов у широких аплинков и проксировать уже к себе запросы клиентов.

ну я думаю всякие краторы так и делают. ставят тазики на площадках с большой емкостью, а оттуда уже проксируют трафик на защищаемый объект.

[zorn]

Joomla ?

С донецской ip че то на джумлу подсели.

193.110.73.2