Насколько эффективна аппаратная защита от ДДОС и как она работает.

+1

Я уже говорил, что если отбили "скриптом", то это "школьный" ДДОС.

Предполагаю (достоверных цифр у мен нет), что большая часть случаев ддоса – делают школьники и отбить их можно на сервере.

Предполагаю, что около 99% сайтов сейчас беззащитны даже перед примитивным ддосом.

Сейчас siege можно каждый третий сервер завалить :)))))

Ну тут не нужны скрипты, просто блокировкой на количество коннектов решается или просто кэшированием в nginx )

Himiko, самое смешное что у большенства даже таких элемантарных ограничений нету...

Большинство сайтов можно завалить поставив тяжелый предмет на кнопку crtl и кнопку F5, причем многие недохостинги отказываются с этим бороться

вставлю свои 5 копеек :)

аппаратная защита бывает эфективна при защите от некоторых видов ддоса. Например есть SYN флуды которые можно обработать только железками типа Juniper NetScreen или Cisco Guard

опять же на аппаратном уровне можно зафильтровать определенные типы трафика на определенных портах (касательно ICMP и UDP) но это в обязательном порядке требует ручного вмешательтства вменяемого админа. Железки с кнопкой "защита от ддос" не существует :)

по опыту работы с cisco guard - от 10 до 30% ложных срабатываний с дефолтным конфигом.

Надежную защиту от ддос могут позволить себе крупные датацентры, с хорошими каналами и квалифицированым персоналом. Если хостинг предоставляет не датацентр а хостинг, то это может быть защита только в пределах пропускной способности сервера.

При более менее крупной атаке - защиты не будет.

Отличий много. Как я уже писал выше, аппаратная защита хороша для фильтрации атак типа SYN, UDP флуда. Если дело касается HTTP то тут защиту лучше организовывать уже непосредственно на самом сервере, либо на кластерной системе состоящей из нескольких серверов.

Защита строится на базе Nginx. Это очень продвинутый web сервер и позволяет строить достаточно крупные высоконагруженые системы. При грамотном подходе и толковых админах, сервер с правильно настроенной связкой Apache + Nginx и хорошо "оттюнингованной" сетевой подсистемой, может держать ддос средней сложности без всяких дополнительных защит.

Мы в своей работе используем именно такую схему.

На входе стоит несколько железок, которые позволяют фильтровать низкоуровневые флуды типа SYN. За ними стоит расширяемый кластер с Nginx который банит любые HTTP флуды.

Количество ложных срабатываний состаляет 3% в штатном режиме и до 7% в режиме очень мощных атак.

Если атака очень большая (более 40Gb\s) , в ход уже идет фильтрация на уровне BGP. Но по этой системе вас лучше проконсультирует Костич :)

Но такие крупные атаки это увлекательное занятие для наших админов. Увидеть действительно грамотного соперника получается не часто.

1. Есть ли у вас какие то механизмы по обнаружению высокоинтеллектуальных ботов, которые не просто обращаются к нескольким URL, а копируют работу человека?

2. Как часто сталкиваетесь с высокоинтеллектуальными ботами?

данный тип атак появился примерно после нового года. Были попытки до этого но таких изысканых ботов мы не видели давно. Сейчас уже полностью разработан алгоритм обнаружения и блокирования этого типа атаки но его подключение производится пока вручную. По нашим наблюдениям всего несколько ддосеров пользуются этим инструментом. Поэтому в автоматическую защиту мы его пока не включаем. Скорость перехода на отражение этой атаки составляет гдето 15-25мин после начала атаки. Как правило подздащитный сайт упасть не успевает.

Сейчас атаки этими ботнетами проводятся несколько раз в неделю, не чаще.

Также хочу сказать что скорее всего данный ботнет требует достаточно продуманой настройки. Потому что часто атакуют примитивной атакой, боты все блочатся обычной защитой, а через несколько часов понимают что эфекта нет и включают этот интелектуальный алгоритм. Но боты уже тю-тю :) заблочены :)