В нормальных ДЦ пограничные маршрутизаторы заблекхолены через аплинк... а по сему в трейсах отображаются звездочки 😂 и даже если знаете его ip, то трафик до него недойдет... конечно же проблема такая присутствует, т.к. пока рутер раз-другой не грохнут, то админы зад свой на эту тему чесать не будут... а так уже практически везде почесали.
Стандартная схема короче. А вот ДЦ с центральным маршрутизатором вообще не видел... видел когда 65тая там одна стоит, обвешанная 35тыми или 37мыми, но её, с ёё производительностью... ну даже если 10 mpps туда сможете пропихнуть, то ей по барабану будет.
как и все - хожу по bgp на рутеры аплинка.... а как её еще туда сливать? могу комунити выставлять на сетки, т.е. в блекхол по dst, в блекхол по src... могу next-hop на себя анонсить и т.д... трафик балансить по bgp могу, если дырки гигабитной нехватает... и т.д. и т.п.
---
Ну и пускай меня ддосят по ip... особенно когда сайт клиента висит сразу на 3х или 5ти, пускай сразу все пять поливают - четыре в блекхол и атака будет в четыре раза меньше.
А фик его знает... писюк и писюк 😂
Причем первая кажется один в один как IBM X-Series, так же как и их голосовые решения. Что само собой наводит на мысль о сетевухах броадком и т.д...
Короче на фотках мегажелезо для борьбы с DDOS от Cisco Systems... если в контексте железо vs софт, то все прекрасно понимают о чем идет речь.
а почему нет? мне кто-то запрещает сливать инфу на bgp рутеры аплинков?
опять понеслась... в некоторых ДЦ мы сами себе провайдеры, фактически со своей канальной инфраструктурой... и что?
я не знаю кто такие сейп... если бы они обратились, то их вопрос бы мы решили 100%
Сталкер, вот есть у меня один клиент, которому пролексик зарядил 80k$ за защиту на полгода, причем попросил оплатить их сразу. Атаки там скажем были не то, что недорогие, а целый похоронный марш. Нагружали под завязвку в т.ч. и с p2p сеток. На часть серверов клиент поставил софт, а на часть серверов подал тунель. 7 гигабит резалось на 3 гигабтном канале, причем от атаки в последний не пролезало даже и гигабита. Более того, обычные смертные юзера заходившие на сервис по http спокойно его использовали. Если знаете как устроено BGP, то ничего удивительного тут нет.
По сравнению с 80k$ наш сервис/софт стоит просто копейки. По функциональности, IMHO, в контексте защиты http, мы делаем лучше чем делает cisco guard и еще с ними типа RAD. Буду повторять это бесконечно. Наверное пока железяку не сделаем и не поставим на неё прайс 15k$ понимания среди ламеров мы недостигнем.
Знали бы вы какой ГЛЮКАВЫЙ СОФТ использует стаминус и проксишлд - откровеннейший самопис. У них в пресс релизах даже написано, что их инженеры разработали уникальный софт. Конечно же, по вашему ламеры они все, надо на самом деле железо использовать, а они на софте сидят... к тому же еще и своем. И через полгода просьб они изрекли "О!!! Гуд дей!!! Наши программисты долго и продуктивно поработали - сегодня мы можем кастомизироват рефреш пагу под каждого клиента..." за доп 200 баксов в месяц... бгагагага. Это мать их лидеры индустрии, если кто не в курсе.
В терминологии bind 9.x это называется view. Когда нельзя заблекхолить азию, то под шумок можно подсунуть туда другой ip или 127.0.0.1.
так и есть
это не я говорю, а вы... платите деньги и убедитесь сами, в чем проблема? я предложил поспорить... в чем проблема? за слова отвечать надо! вы понимаете о чем я? если просто языком только умеете, то ничего не могу поделать... сложно для вашего понимания? какая разница как мы это делаем... если у вас нет даже малейшего понятия об инструментарии доступном через BGP, то о чем я могу еще с вами говорить?
в кучу валятся рейды, директиксы, видяхи... софт, железо.. прости, но за компетенцию уже сомнения большие, т.к. от предмета вы далеки более чем...
и что вы сравниваете? давайте сравним брендовую железку за 50 килобаксов и производительность серверов на 50 килобаксов... слабо? на стольки серверах с помощью нашего софта можно чистить 30 гигабит в легкую... знаете сколько миллионов вы заплатите за железо чистящее такую полосу?
Да, прасти нас ниразу ниграматных. Если в рутер производительностью 400kpps воткнуть 2 гигабита и направить туда всего лишь 100 мегабит син флуда, то сдохнет он раньше, чем эти 100 мегабит туда зайдут... где-то в р-не 96. Доступно поясняю?
Да, прасти нас ниразу ниграматных. В BGP достаточно инструментов для отражения 5 гигабитной атаки на гигабитном канале.
Мне забавно на самом деле. Стаж у меня в телекоме уже более 10 лет, в т.ч. и по программированию, администрированию и т.д... полный эникей. Что меня всегда забавляло, так это то, что несведующие люди оперируют исключительно терминами СОФТ и ЖЕЛЕЗО.
Если в контексте про RAID, то большая часть дешевых матерей несет на себе именно софтверный - это так, если не в курсе еще. Этот рейд гордо называют железом и залезают на всякие пузомерки замерять бенчмарки...
Если в контексте про циски и все остальное, что несведующие люди называют ЖЕЛЕЗОМ, то там тоже софт - свои ios, os, укоцанные linux, пропатченные bsd и т.д. Даже на дешевых железячных рутерах сейчас какой-то мини линукс крутится, который на флешку залезает и кроме как роутить нифига не может.
Вы думаете WCCP на циске железом решается? Нет, софтом и на цпу прямо (с) один CCIE отказывшийся включать на 65той. Писюковая реализация WCCP для перехвата трафа и балансировки между проксями работает в разы быстрее.
Теперь за различия в решениях... различаются они только софтом и интерфейсами, т.к. большая часть решений построена на обычных писюках. В одних решениях производительность CPU влияет на общую скорость, а в других совсем незначительно, т.к. CPU используется только для управления.
На рынке есть определенные правила. Если бы Арбор продавал свой софт в виде дистрибутивов, то за него бы никто не платил - расковыряли бы уже давно. Но т.к. Арбор хочет денег, то этот софт запихнули в железку, которая ничего особенного толком и не делает - анализирует netflow поток на предмет аномалий. Большую часть фич продвинутые админы делают несколькими скриптами, т.к. поток со статистикой используется еще и для билинга. Алгоритм наитупейший - отследить icmp, udp и флуд. Флуд в потоке netflow заметен невооруженным глазом, особенно в сыром и неагрегированном. Любой программист сможет реализовать все фичи арбора по анализу менее чем за месяц, а там уже разукрашивать это надо, ГУИ всякие приделывать и т.д. Но т.к. на рынке есть свои правила, то что бы это продать за много денег надо это запихнуть в красивую железку - и софт не стырят и за железку заплатят.
С чем конкретно из вышенаписанного Вы не согласны? Если Вы не знаете подробностей и технологий на достаточном уровне, то не надо вот так голословно утверждать.
Могу на спор на гигабитном канале отбить атаку в 3-5-10 гигабит. Готовы спорить? Поднимем стенд, поставим свичи и натравите какие нибудь lan флудильники. Причем все можно устроить в контексте 3750той и флудить будете даже с соседних дырок. Все дело в математике школьного уровня и знание технологий. А мы поржом... преодолеть эту фишку не могут даже в теории, не говоря уже за практику. Да там хоть 100 гигабит... разницы никакой нет, математика одна и таже...
вы не совсем предтавляете как устроены большинство ДЦ.
на маршрутизаторах атаки уже давно не фильтруют... только в экстренных случаях и только когда фильтры достаточно простые.
Прежде чем гнать на фряху и вообще на какое либо решение обратитесь к той же самой циске, которая под гуард изначально использовало bsd based, а потом перешла на linux based софт... это писюк обычный фактически, который упакован в брендовый кузов. Удивил? Потом сходите к тому же самому netapp, который на своих nas юзал, а возможно и сейчас юзает, freebsd based ОС. Собственно мы ничем от них не отличаемся... когда упакуем все в красивую коробку, то слово freebsd вообще произносить не будем.
Какая разница что там стоит, если это работает и чистит все что пролетает мимо?
ps. Можно под линукс портировать, но пока нетграфа наманого не будет даже и не подумаем...
у меня решение уровня ДЦ, что позволяет его линейно массштабировать... сервера можно лепить один на один, а балансировка по ним осуществляется с помощью протоколов маршрутизации... ну и etherchanel если надо поднимаем.
да какая разница какая там атака... фильтрующий софт/железо должно обеспечивать фильтрацию любой грязи на всю ширину порта...
Есть решения для ДЦ, в частности в http://www.datahouse.su/ наше решение возможно скоро будет доступно для клиентов в штатном режиме согласно прейскуранту... за сущие копейки. Сейчас его там тестируют.
что такое 2mbps? 2 мегабайта в секунду? 20 мегабит? 2mpps - 2 миллиона пакетов в секунду... на одном сервере можно лопатить до 1 mpps фактически, и т.к. наше решение линейно массштабируемое, то поставив 10 серверов можно лопатить почти 10 гигабит и почти 10 mpps... 10 серверов + наш софт дешевле аналогичным решениям от брендовых производителей.
