- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В настоящее время DDOS атаки становятся все сильнее, заказать сейчас DDOS любой мощности стоит от 500$ в неделю.
Встал вопрос выбор защиты от DDOS для хостинга , из аплинков имеем - Ростелеком , ТТК , Telia Sonera все провайдеры предлагают свою защиту по разным ценам и по разным условиям , так же как вариант стоит на бордере стоит Cisco® Anomaly Guard Module и соответственно Cisco Traffic Anomaly Detector.(ну это просто мухобойка) .Какие еще есть варианты по доступным ценам ? Рассматривали Voxility , Ddos-guard и прочих. Серьезная защита я считаю может быть только на уровне магистралов, ставить себе Arbor смысла по большому счету не вижу, так как любой атакой скажем в 100гб.с этот Арбор кладется на раз два.Предлагаю поделится опытом защиты своей инфраструктуры и клиентов от серьезных атак.
Самое оптимальное имхо, комбинация решений аплинков и своего оборудования и ПО для фильтрации того, что не смогли (по разным причинам) отбросить аплинки.
Если защита интересует только от http(s) атак, то есть решения на базе сервисов фильтраций конкретно для веба.
Если защита интересует только от http(s) атак, то есть решения на базе сервисов фильтраций конкретно для веба.
Так а какой сейчас смысл устраивать атаку "только http" ? я просто с точки зрения злодея смотрю - или так просто со своего домашенго компа loicom долбится ?
со своего домашенго компа loicom долбится ?
Так сейчас никто не далает.
Самое простое что есть - стрессеры 5-10$ в месяц по модели ddos-as-service с помощью которых можно и http флуд порядка 2к rps отправить, так и udp dns/ntp amplification атакой вальнуть канал.
От первого типа как раз спасает защита проксированием (как пример), от второго только фильтрация на апстримах. Есть еще хитрые упакованные атаки ну и другие ухищрения, которые без комплексной защиты не отбить.
Варианта два.
1. Простой и дешевый. Контракт с готовыми решениями, те же ddos-guard, voxility, incapsula, serverius и прочее прочее. GRE тунель, анонс сети через их инфраструктуру, когда и что анонсить - управляете сами ибо bgp.
Минус - увеличивается latency, трафик летает не известно где и через что.
Для некоторых тип атак, исходящий трафик тоже должен летать через GRE.
+ бонусом есть некоторые особенности в GRE как таковом.
2. Дорогой, сложный. Расширять свои каналы и покупать оборудование для inline чистки. Прежде всего каналы, потом грамотная настройка корневой сети, а потом уже вопрос железок. Большинство атак на самом деле режется даже без железок, просто грамотной настройкой роутеров и использованием качественных провайдеров. Тот же RETN кстати определяет грязный трафик и помечает его. За дополнительные деньги он его и не доставляет. Но помечает всегда. Отсюда напоминаю уже сказанное - первое - это ширина каналов.
ТС какой бюджет в месяц за защиту готовы выкладывать?
ТС Вам нужен совет или поставщик услуг?
Если поставщик услуг, то подскажу в ЛС
Защищенный от DDOS VPS в Москве от 390 руб/месяц.
Индивидуальные предложения.Тестовый период. MoneyBack (http://argotel.ru)
MIRhosting.com, " RETN кстати определяет грязный трафик и помечает его."
смысл ? у нас в аплинках TIER 1 операторы, я не вижу смысла брать RETN, и TTK и Rostelecom предоставляют свои сервисы защиты от DDOS, но дорого да и не всегда качественно (недавняя атака на Сбер тому пример, хочу рассмотреть еще какие то варианты
---------- Добавлено 25.02.2017 в 23:52 ----------
argotel, это что тайна какая то ? почему не написать этого поставщика в открытую ?
ondysss, а бюджет то на это всё какой и какой максимальной мощности хотите отбить атаку, и какого уровня?
MIRhosting.com, " RETN кстати определяет грязный трафик и помечает его."
смысл ? у нас в аплинках TIER 1 операторы, я не вижу смысла брать RETN, и TTK и Rostelecom предоставляют свои сервисы защиты от DDOS, но дорого да и не всегда качественно (недавняя атака на Сбер тому пример, хочу рассмотреть еще какие то варианты
---------- Добавлено 25.02.2017 в 23:52 ----------
argotel, это что тайна какая то ? почему не написать этого поставщика в открытую ?
Во первых ретн ничего не помечает. Не нужно вводить людей в заблуждение. Более того уже как пол года ретн перестал предоставлять новым клиентам даже FLOWSPEC.
Теперь у ретна из вариантов только арбор (300р мегабит) и простейшие фильтры спасающие от некоторых видов амплификаций с управлением через комюннити.
Далее у вас очень странный вопрос на не профильном форуме для адекватного ответа на него.
По сути единственный способ эффективно бороться с ддос не будучи магистралом это блокировка его на уровне апстрима а тут в качестве грубой меры поможет или blackhole (но мы спасаем свою инфраструктуру а не атакуемого клиента) или FLOWSPEC (тут можно и за клиента побороться.)
Но вот засада.. во первых флоуспек дают совсем не многие операторы а во вторых умеет его совсем не дешевое оборудование..
если мне память не изменяет то у кошечек это расширение BGP доступно минимум с ASR900х у жуниперов не помню но вроде как начиная с MX240 (могу ошибаться)
в любом случае это много миллионное железо. Теперь добавьте сюда стандартное соотношение коммит канала и берста (1 к 10) и попытаемся вспомнить что там у нас с online анализаторами трафика (а без них нам ничего не поможет) кто там у нас в анализе лидер ?cisco сдулись.. редваре.. способны разве что TCP атаки да амплификации детектить, арбор ? боюсь даже если продать почки всех сотрудников.. не хватит. Уж больно цена фантастическая.
И что в итоге ? а в итоге если защищать не клиентов а себя как компанию то хватит и блекхола а защищать клиентов банально выгоднее доверить профильным конторам типа воксирити и ддос гвард. А вот подчищать за ними что то особо тонкое можно уже и самим.. тут и мухобоек хватит.
ЗЫ с недавнего времени мегафон дает страждующим свой "периметр". Эдакий дешевый вариант защиты (да да действительно дешевый. а по возможностям очень близок к арбор тмс)
вот только тот вариант что удалось потестить мне, имел лимит потока в 80 гигабит.
Чувствую темка будет горячей. По фактц ДДоС и защита от него достаточно щепетильная и неоднозначная тема для дискуссий. Все исключительно индивидуально как по ценнику, так и по типу защиты. Все зависит от конкретной атаки, и если боты не тупые, то мало какая автоматическая защита поможет. Только руками корректировать и подстраивать под атаку.