Новая антиддос система

Там выше было обсуждение по поводу поисковиков (читал с тлефона, неудобно было отвечать) - система прозрачна для поисковиков, и мы разрабатываем дополнительные методы валидации поисковиков и использование белого листа IP адресов - самая крайняя мера для самых сильных атак.

ну это понятно, только это все разговоры которые касаются защиты именно веб сервера (т.е 80 тсп порта), а как обстоят дела насчет комплексной защиты всего сервера? Если вашу защиту начнут валить SYN или UDP флудом она выстоит? до каких пределов таких атак вы можете гарантировать ее работоспособность? Ах да, на этом форуме без отзывов никак, поэтому моя вам подсказка - вам нужны отзывы! без них никуда

ValdisRu, Спасибо за сообщение. На этим работаем скоро будет возможность бесплатного теста.

Syn, udp flood отсекаются аппаратной защитой и до серверов даже не доходят.

Фильтрация траффика порядка 10 гигабит на каждый сервер. Плюс это обсуждается.

всегда пожалуста ))), тогда у меня кстати возник вопрос в каком ДЦ распологается эта ваша защита (ну если это супер пупер комерческая тайна, то хотя бы в какой гео локации)

Меня это также очень интересует. Особенно интересуют сказки про 10 гигабитный трафик.

Каким образом вы достигли таких каналов на каждом из серверов? Что же это за ДЦ такой,

который будет терпеть подобные аномалии в виде ддоса? Ладно аппаратная защита на уровне ДЦ,

ладно к ней приходит такой канал, но каким образом такой канал приходит в каждый из серверов?

Также интересует кол-во одновременно входящих пакетов (pps), которое ваша "защита" сможет выдержать?

P.S. у меня очень большие сомнение по поводу данной "зашиты" особенно это касается сказочек про 10 гигабит и "якобы" наличие аппаратной защиты.

Можно подробнее, что за бренд? какая модель? Факты, факты, нам нужны факты, иначе это очередные пустые слова и россказни.

Таких мощностей возможно добится всего несколькими способами, и не как вы этого не сделаете на одном сервере.

Можно взять 10 серверов по гигабиту например

Зачем все заворачивать на один сервер?

Швейцария не?

видел одно предложение оттуда - сервера с каналом 1 гбит и аппаратной защитой до 10 гбит

не шибко дорого, правда отзывов от русскоязычных пользователей не нашел

10 серверов? разве что только в кластере. Но про 10 серверов и речи даже небыло, ТС говорил именно про 10 гигабит на одном сервере.

Допустим - аппаратная защита 10 гбит, а что будет в случае с HTTP флудом? Она его даже не поймёт и целиком и полностью пропустит в сервер.

К тому же разве это можно как-то назвать их собственной, новой, уникальной защитой? Фактически эт называется ресселинг, да даже так и есть.

Всем спасибо за активное обсуждение моей темы, очень приятно, что есть пища для разговора в результате моей работы (:

Стараюсь ответить всем по порядку, если что то пропущу - не по злому умыслу, конечно же.

По поводу датацентра - у них есть опция установки 10-ти гигабитной сетевой карты в почти любой сервер. Аппаратная защита отрабатывает от простейших атак, и не защищает от l7 (фильтрация происходит уже непосредственно на наших серверах и на нашем ПО).

По поводу сети датацентра - зависит от суммы оплаты и потребностей, есть различные способы оплаты (погигабитно, 95%, негарантированный канал, и еще какой-то способ, я его сейчас не вспомню, потому что он был неинтересен мне).

Про железо для защиты от простейших видов атак - датацентр предоставляет железо Fortinet Fortigate в аренду, которое способно фильтровать и быть фаерволлом для больших объемов траффика.

Услуги датацентра предоставляет компания, которая ориентирована на клиентов с большим потреблением траффика и на реселлеров, на общем рынке она не рекламируется на данный момент (это часть из моего общения с менеджером).

Про http флуд в 10 гигабит - сомневаюсь, что такие объемы возможны. Ну а у клиента, на которого натравят такой ботнет в любом случае будут деньги на то, чтобы построить соответствующую защиту. Она легко масштабируется (:

Про pps на сервер - именно для этого я и создал тему, мне интересно выявить слабые места этой защиты, чтобы дальше заставлять программистов работать.

Ну и в качестве апдейта - почти закончена работа над функционалом, который позволит устанавливать эту систему защиты на сервера клиентов, без переноса А записей (с соответствующими проблемами в случае наличия udp и прочих флудов. Тоесть только фильтрация http атак, который не выходят за пределы возможностей сервера). Обращайтесь.

То, что у вас будет 10 гигабитный порт не даёт никаких гарантий на счёт 10 гигабитного канала - это раз

Что касается pps - тут всё зависит от сервера и его сетевой карты, а именно сколько она способна пропустить до тех пор, пока не будут скушаны все ресурсы сервера.

Вы хотите устанавливать систему на сервер клиента? Ок, пожалуйста. Но вот в чём беда. За частую у клиентов очень слабые VPS на базе технологии OpenVZ с устаревшим ядром, которое не позволит применить половину даже самых простейших правил, а данная технология не позволит вносить каке либо изменения в само ядро. Также из за слабых ресурсов сервера мощность атаки, которую он сможет выдержать будет крайне мала. Таких систем на рынке уже довольно много. Тут нужен индивидуальный подход к каждому клиенту, отталкиватся от характеристик его сервера, его движка и силы атаки. Так скажите ТС, в чём же новшевство вашей защиты? Чем она лучше конкурентов?

Вы сможете конкурировать лишь построив спец. кластер из множества серверов с аппаратными балансировщиками нагрузки и при его грамотной настройке можно сдерживать даже мультигигабитные атаки. А так, ваша система не способна конкурировать с другими, ибо она ничем не лучше.