- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, Друзья, Коллеги, Товарищи ( Конкуренты =) ).
Мы периодически выкладываем свои труды в OpenSource - sprut.io, firststat.ru и хотим продолжить эту славную традицию.
Месяца 3 назад озадачились вопросом DDOS-атак на 4 уровне модели ISO. В данном случае речь идет о SYN/ACK флуде. Мы посмотрели на представленные решения и, в основном, есть две технологии:
SYNCOOKIE:
Суть заключается в том, что вместо записи информации о соединении мы кодируем ее в ACK-пакете в seq + timestamp последовательности с помощью SHA1 и открываем соединение ACK-пакетом при условии валидного ответа. Этот механизм есть в ядре - syncookie добавили его туда в 1998 году и не так давно его вынесли в iptables. На стандартной 1G сетевой карте без тюнинга сетевого стека и оптимизаций сервер начнет умирать с 500000 пакетов в секунду.
SYNPROXY:
Это решение уже на сторонней железке и обычно встраивается в разрыв сети. Файрвол держит информацию о статусе каждого соединения, подменяя seq последовательность в пакетах. Это решение используется в Juniper, F5, Arbor и прочих железках. При включении/выключении рвутся установленные сессии. Из преимуществ, на одном ядре можно выжать очень много пакетов в секунду, так как можно не использовать SHA1. 14М на ядро - это не сложно.
Фактически нам нужно было решение, которое очищает трафик на 4-м уровне, прозрачно подключается, может держать до 40 гигабит флуда и, в принципе, больше ничего не умеет =). При этом у нас есть довольно большой парк серверов, подключенных 1G-линком (и не с самой современной картой), и, откровенно говоря, в 95% случаев это более чем достаточно. То есть городить решение на каждом сервере было не вариант.
Запросив цены в Juniper, F5, Arbor и прочих вендоров, немного выпал в осадок - для наших нужд минимум 40М пакетов просили 120 000$, при этом подчеркнули, что данное железо надо обязательно резервировать.
Предлагал коллегам из других компаний вместе разработать подобное решение. Где-то были зачатки, но начальство было против такой разработки. Кто-то сразу посылал.
На текущий момент мы разработали систему, которая на процессоре e3-1270v3 держит более 10М пакетов SYN/ACK флуда на сетевых картах Intel 520/710 + UDP, ICMP флуд пока линки не забьются. На адекватных процессорах все упирается в линки.
Подключается прозрачно перед сервером и по всем нашим тестам отлично работает. Плюс системы в том, что она не разрывает существующие соединения и почти не требует модификации конечной машины.
И да, я хочу выложить все это счастье OpenSource после того, как все доделаем, протестируем и приведем в божеский вид (как минимум, чтобы править конфиги, а не константы в коде =) ). Я убежден - данный продукт повысит качество предоставляемых услуг, и надеюсь не только нам.
Так как и те, кто организует DDOS (будь то хоть школьник или владелец ботнета), пытаются получить прибыль с не совсем адекватной деятельности, так и те, кто защищает от DDOS, в большинстве своем получают прибыль на страхе перед первыми.
КАК ВЫ МОЖЕТЕ НАМ ПОМОЧЬ?
Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey ПуДелЬ beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание - проект продолжит размещаться на старом месте.
.
alexeyymanikin, основная проблема ддоса не в конечном пользователе, а в забитых каналах.
Большинство атак без особых проблем фильтруются на 10гбит канале и немного оттъюненным ядром, драйвером карты. Можно вообще в netmap пустить и рисовать что угодно прозрачно.
Конечно будет замечательно, если Вы поделитесь с обществом, но в итоге для большинства это все равно упрется в деньги, ибо 1гбит канал не выдержит типичной атаки нового времени.
ENELIS, +1
Придёт к ТС 20 Гбит амплификации с возможностью геометрического роста и он пожалеет что связался с этими самыми ддосами, на наш статический сайт периодически прилетает и 300 Гбит этой самой амплификации, на клиента недавно мульти-протокольно летело 700Гбит всякого мусора, но рассеив на бордеры и ещё наши фирменные системы не наша сеть, ни клиент (небольшие задержки перед открытием сайта) не пострадали.
А, так идейка хорошая, но без своего BGP бесполезная.
alexeyymanikin, основная проблема ддоса не в конечном пользователе, а в забитых каналах.
Большинство атак без особых проблем фильтруются на 10гбит канале и немного оттъюненным ядром, драйвером карты. Можно вообще в netmap пустить и рисовать что угодно прозрачно.
Конечно будет замечательно, если Вы поделитесь с обществом, но в итоге для большинства это все равно упрется в деньги, ибо 1гбит канал не выдержит типичной атаки нового времени.
Атаки на канальную емкость нас не сильно беспокоят, https://beget.ru/news/2015/network_2015 год назад емкость наших внешних каналов превышала 90 гигабит, сейчас более 170 гигабит. В качестве граничных маршрутизаторов Juniper MX960 и MX480. Они отлично справляются с задачей фильтрации UDP, ICMP и прочих атак с усилением. Это атаки чуть более низкого уровня - l2-l3. Ну и как бонус - большинство провайдеров уже поддерживает BGP FlowSpec и эти атаки можно фильтровать на стороне аплинка.
---------- Добавлено 15.06.2016 в 18:25 ----------
ENELIS, +1
Придёт к ТС 20 Гбит амплификации с возможностью геометрического роста и он пожалеет что связался с этими самыми ддосами, на наш статический сайт периодически прилетает и 300 Гбит этой самой амплификации, на клиента недавно мульти-протокольно летело 700Гбит всякого мусора, но рассеив на бордеры и ещё наши фирменные системы не наша сеть, ни клиент (небольшие задержки перед открытием сайта) не пострадали.
А, так идейка хорошая, но без своего BGP бесполезная.
Лично знаком с сетевыми инженерами с retn, beeline, prometay, runnet, науканет - "на клиента недавно мульти-протокольно летело 700Гбит всякого мусора" 700 гигабит ихняя сеть не выдержит в одну точку, суммарный трафик по сети - да вполне.
покажите мне графики провайдера через которого Вы подключены или хотя бы дайте мне их контакты - мне очень интересно с ними пообщаться.
alexeyymanikin, Это коммерческая тайна и мы подключены не через одного провайдера иначе мы бы обрушили интернет атаками какие прилетают в нас.
Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey ПуДелЬ beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание - проект продолжит размещаться на старом месте.
SYN-flood атаки можно без проблем заказать за $100 в месяц.
Мы так тестировали свою защиту. Правда больше 7 Mpps не получилось выжать из них.
Правильная тема, что-то вроде software defined firewall говоря модными словами. Я бы посоветовал разделять блок и детекцию. Блок правильнее делать на бордерах, а еще лучше на flowspec наверх.
А когда надоест - пойдете и купите тот же хуавей :)
MIRhosting.com, И упритесь в то что их надо много, а много "тазиков" по 200 уе и много Хуавеев по 10к уе, разные вещи, причём "тазики" выдержат больше:)
---------- Добавлено 15.06.2016 в 22:32 ----------
porutchik, Это всё по сути бесполезно, вот умная L7 атака с Full стеком - это гораздо интереснее и сложнее в формуле отбития, я имею ввиду полную эмуляцию поведения браузера, Мы и такое видели и нет такая атака не стоит 1000$ в сутки, всё гораздо дешевле, а вот отбить Арбором/Хуавеем/Джунипером такое на автомате не реально.
alexeyymanikin, Это коммерческая тайна и мы подключены не через одного провайдера иначе мы бы обрушили интернет атаками какие прилетают в нас.
Голословные заявления можно делать любые, 700-7000000 гигабит, разницы особой нет. Большая часть сервисов предоставляет свою статистику тот же cloudfire. Даже у куратора есть много полезных инструментов. Посмотреть через кого прилетают Ваши анонсы, и кому Вы анонсируете свою AS не сложно. По крайней мере AS на которой располагается Ваш сайт явно проигрываем тому же куратору. И нет не слова о том, что эта AS Ваша. На сайте нет информации о юридическом лице, телефона, не одного документа.
По этому данные заявления я не воспринимаю всерьез без подтверждающей информации. Я не спорю Вам очень хочется как то заявить о себе, но делать стоит обосновано.
В общем коллеги давай не будет разводить срач, видимо пользу от данного форума становиться все меньше и меньше.
Ну там есть хитрости детекции, на уровне пакетов. как самое простое: discard first packet и смотреть как прилетит второй "первый". Особенно в UDP.
Поэтому, да, для L7 атак совтферный детектор имеет смысл и вполне вероятно что будет работать лучше чем железные решения. Особенно если блочить наверху. Но для volume atack, для поддельных пакетов и всякого синфлуд все же тазиками датацентр на сотни гигабит не прикроешь. Впрочем, удивите )
---------- Добавлено 15.06.2016 в 22:08 ----------
Кстати, Алексей, как показал наш опыт фильтрации когда очень сильно досили white-suite (тут тема была на миллион страниц), и когда у нас еще не было железных решений, а всякие cisco guard и прочие арборы мягко говоря не хотели понимать в чем проблема и тупо блочили все подряд, мы пилили на коленке в авральном режиме свои фильтры. И как показал опыт, freebsd выигрывала линукс минимум в 3 раза по количеству пакетов, на абсолютно идентичном железе.
Так, для сведения, может пригодиться.
Ну это как бы общеизвестно.