DDOS OpenSource Testing

12
A
На сайте с 20.09.2008
Offline
131
3020

Добрый день, Друзья, Коллеги, Товарищи ( Конкуренты =) ).

Мы периодически выкладываем свои труды в OpenSource - sprut.io, firststat.ru и хотим продолжить эту славную традицию.

Месяца 3 назад озадачились вопросом DDOS-атак на 4 уровне модели ISO. В данном случае речь идет о SYN/ACK флуде. Мы посмотрели на представленные решения и, в основном, есть две технологии:

SYNCOOKIE:

Суть заключается в том, что вместо записи информации о соединении мы кодируем ее в ACK-пакете в seq + timestamp последовательности с помощью SHA1 и открываем соединение ACK-пакетом при условии валидного ответа. Этот механизм есть в ядре - syncookie добавили его туда в 1998 году и не так давно его вынесли в iptables. На стандартной 1G сетевой карте без тюнинга сетевого стека и оптимизаций сервер начнет умирать с 500000 пакетов в секунду.

SYNPROXY:

Это решение уже на сторонней железке и обычно встраивается в разрыв сети. Файрвол держит информацию о статусе каждого соединения, подменяя seq последовательность в пакетах. Это решение используется в Juniper, F5, Arbor и прочих железках. При включении/выключении рвутся установленные сессии. Из преимуществ, на одном ядре можно выжать очень много пакетов в секунду, так как можно не использовать SHA1. 14М на ядро - это не сложно.

Фактически нам нужно было решение, которое очищает трафик на 4-м уровне, прозрачно подключается, может держать до 40 гигабит флуда и, в принципе, больше ничего не умеет =). При этом у нас есть довольно большой парк серверов, подключенных 1G-линком (и не с самой современной картой), и, откровенно говоря, в 95% случаев это более чем достаточно. То есть городить решение на каждом сервере было не вариант.

Запросив цены в Juniper, F5, Arbor и прочих вендоров, немного выпал в осадок - для наших нужд минимум 40М пакетов просили 120 000$, при этом подчеркнули, что данное железо надо обязательно резервировать.

Предлагал коллегам из других компаний вместе разработать подобное решение. Где-то были зачатки, но начальство было против такой разработки. Кто-то сразу посылал.

На текущий момент мы разработали систему, которая на процессоре e3-1270v3 держит более 10М пакетов SYN/ACK флуда на сетевых картах Intel 520/710 + UDP, ICMP флуд пока линки не забьются. На адекватных процессорах все упирается в линки.

Подключается прозрачно перед сервером и по всем нашим тестам отлично работает. Плюс системы в том, что она не разрывает существующие соединения и почти не требует модификации конечной машины.

И да, я хочу выложить все это счастье OpenSource после того, как все доделаем, протестируем и приведем в божеский вид (как минимум, чтобы править конфиги, а не константы в коде =) ). Я убежден - данный продукт повысит качество предоставляемых услуг, и надеюсь не только нам.

Так как и те, кто организует DDOS (будь то хоть школьник или владелец ботнета), пытаются получить прибыль с не совсем адекватной деятельности, так и те, кто защищает от DDOS, в большинстве своем получают прибыль на страхе перед первыми.

КАК ВЫ МОЖЕТЕ НАМ ПОМОЧЬ?

Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey ПуДелЬ beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание - проект продолжит размещаться на старом месте.

.

-- С Уважением Алексей Маникин.
ENELIS
На сайте с 29.08.2008
Offline
194
#1

alexeyymanikin, основная проблема ддоса не в конечном пользователе, а в забитых каналах.

Большинство атак без особых проблем фильтруются на 10гбит канале и немного оттъюненным ядром, драйвером карты. Можно вообще в netmap пустить и рисовать что угодно прозрачно.

Конечно будет замечательно, если Вы поделитесь с обществом, но в итоге для большинства это все равно упрется в деньги, ибо 1гбит канал не выдержит типичной атаки нового времени.

С Уважением, ServerAstra.ru (https://serverastra.com) - VPS и выделенные сервера в Будапеште по выгодным ценам!
kxk
На сайте с 30.01.2005
Offline
970
kxk
#2

ENELIS, +1

Придёт к ТС 20 Гбит амплификации с возможностью геометрического роста и он пожалеет что связался с этими самыми ддосами, на наш статический сайт периодически прилетает и 300 Гбит этой самой амплификации, на клиента недавно мульти-протокольно летело 700Гбит всякого мусора, но рассеив на бордеры и ещё наши фирменные системы не наша сеть, ни клиент (небольшие задержки перед открытием сайта) не пострадали.

А, так идейка хорошая, но без своего BGP бесполезная.

Ваш DEVOPS
A
На сайте с 20.09.2008
Offline
131
#3
ENELIS:
alexeyymanikin, основная проблема ддоса не в конечном пользователе, а в забитых каналах.

Большинство атак без особых проблем фильтруются на 10гбит канале и немного оттъюненным ядром, драйвером карты. Можно вообще в netmap пустить и рисовать что угодно прозрачно.
Конечно будет замечательно, если Вы поделитесь с обществом, но в итоге для большинства это все равно упрется в деньги, ибо 1гбит канал не выдержит типичной атаки нового времени.

Атаки на канальную емкость нас не сильно беспокоят, https://beget.ru/news/2015/network_2015 год назад емкость наших внешних каналов превышала 90 гигабит, сейчас более 170 гигабит. В качестве граничных маршрутизаторов Juniper MX960 и MX480. Они отлично справляются с задачей фильтрации UDP, ICMP и прочих атак с усилением. Это атаки чуть более низкого уровня - l2-l3. Ну и как бонус - большинство провайдеров уже поддерживает BGP FlowSpec и эти атаки можно фильтровать на стороне аплинка.

---------- Добавлено 15.06.2016 в 18:25 ----------

kxk:
ENELIS, +1
Придёт к ТС 20 Гбит амплификации с возможностью геометрического роста и он пожалеет что связался с этими самыми ддосами, на наш статический сайт периодически прилетает и 300 Гбит этой самой амплификации, на клиента недавно мульти-протокольно летело 700Гбит всякого мусора, но рассеив на бордеры и ещё наши фирменные системы не наша сеть, ни клиент (небольшие задержки перед открытием сайта) не пострадали.

А, так идейка хорошая, но без своего BGP бесполезная.

Лично знаком с сетевыми инженерами с retn, beeline, prometay, runnet, науканет - "на клиента недавно мульти-протокольно летело 700Гбит всякого мусора" 700 гигабит ихняя сеть не выдержит в одну точку, суммарный трафик по сети - да вполне.

покажите мне графики провайдера через которого Вы подключены или хотя бы дайте мне их контакты - мне очень интересно с ними пообщаться.

kxk
На сайте с 30.01.2005
Offline
970
kxk
#4

alexeyymanikin, Это коммерческая тайна и мы подключены не через одного провайдера иначе мы бы обрушили интернет атаками какие прилетают в нас.

P
На сайте с 21.04.2008
Offline
251
#5
alexeyymanikin:
Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey ПуДелЬ beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание - проект продолжит размещаться на старом месте.

SYN-flood атаки можно без проблем заказать за $100 в месяц.

Мы так тестировали свою защиту. Правда больше 7 Mpps не получилось выжать из них.

Интернет Хостинг Центр IHC.RU - Хостинг, KVM VPS на SSD, аренда серверов.
MIRhosting.com
На сайте с 18.10.2006
Offline
203
#6

Правильная тема, что-то вроде software defined firewall говоря модными словами. Я бы посоветовал разделять блок и детекцию. Блок правильнее делать на бордерах, а еще лучше на flowspec наверх.

А когда надоест - пойдете и купите тот же хуавей :)

Андрей Нестеренко, MIRhosting Облачная платформа для DevOps (https://mirhosting.com/paas)
kxk
На сайте с 30.01.2005
Offline
970
kxk
#7

MIRhosting.com, И упритесь в то что их надо много, а много "тазиков" по 200 уе и много Хуавеев по 10к уе, разные вещи, причём "тазики" выдержат больше:)

---------- Добавлено 15.06.2016 в 22:32 ----------

porutchik, Это всё по сути бесполезно, вот умная L7 атака с Full стеком - это гораздо интереснее и сложнее в формуле отбития, я имею ввиду полную эмуляцию поведения браузера, Мы и такое видели и нет такая атака не стоит 1000$ в сутки, всё гораздо дешевле, а вот отбить Арбором/Хуавеем/Джунипером такое на автомате не реально.

A
На сайте с 20.09.2008
Offline
131
#8
kxk:
alexeyymanikin, Это коммерческая тайна и мы подключены не через одного провайдера иначе мы бы обрушили интернет атаками какие прилетают в нас.

Голословные заявления можно делать любые, 700-7000000 гигабит, разницы особой нет. Большая часть сервисов предоставляет свою статистику тот же cloudfire. Даже у куратора есть много полезных инструментов. Посмотреть через кого прилетают Ваши анонсы, и кому Вы анонсируете свою AS не сложно. По крайней мере AS на которой располагается Ваш сайт явно проигрываем тому же куратору. И нет не слова о том, что эта AS Ваша. На сайте нет информации о юридическом лице, телефона, не одного документа.

По этому данные заявления я не воспринимаю всерьез без подтверждающей информации. Я не спорю Вам очень хочется как то заявить о себе, но делать стоит обосновано.

В общем коллеги давай не будет разводить срач, видимо пользу от данного форума становиться все меньше и меньше.

MIRhosting.com
На сайте с 18.10.2006
Offline
203
#9

Ну там есть хитрости детекции, на уровне пакетов. как самое простое: discard first packet и смотреть как прилетит второй "первый". Особенно в UDP.

Поэтому, да, для L7 атак совтферный детектор имеет смысл и вполне вероятно что будет работать лучше чем железные решения. Особенно если блочить наверху. Но для volume atack, для поддельных пакетов и всякого синфлуд все же тазиками датацентр на сотни гигабит не прикроешь. Впрочем, удивите )

---------- Добавлено 15.06.2016 в 22:08 ----------

Кстати, Алексей, как показал наш опыт фильтрации когда очень сильно досили white-suite (тут тема была на миллион страниц), и когда у нас еще не было железных решений, а всякие cisco guard и прочие арборы мягко говоря не хотели понимать в чем проблема и тупо блочили все подряд, мы пилили на коленке в авральном режиме свои фильтры. И как показал опыт, freebsd выигрывала линукс минимум в 3 раза по количеству пакетов, на абсолютно идентичном железе.

Так, для сведения, может пригодиться.

Андрей
На сайте с 30.09.2009
Offline
492
#10
freebsd выигрывала линукс минимум в 3 раза по количеству пакетов, на абсолютно идентичном железе.

Ну это как бы общеизвестно.

EuroHoster.org ( https://eurohoster.org/ru) - территория быстрых серверов. Выделенные серверы, VPS, SSL, домены и VPN.
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий