Привет всем!
На сайты наших пользователей, да и на наши сервисы, постоянно идут DDOS атаки. Всё это время мы в полуручном режиме работаем по каждой проблеме, но атаки становятся всё сложнее и чаще, и для дальнейшего отражения атак нужна артиллерия другого уровня.
За последний год мы детально изучили вопрос средств защиты от DDOS атак. Этот пост о том, как мы искали надёжное, эффективное и удобное решение “из коробки”.
Как и все любознательные люди — мы начали с изучения рынка существующих устройств защиты. Мы выбрали основных, самых известных производителей:
Как мы выбирали
Мы не магистральные провайдеры и тратить время, копаясь в сотнях параметров защиты от DDOS нам не хотелось, поэтому одним из важнейших качеств была простота в настройке и управлении.
Кроме того, нам необходимо высокое качество фильтрации. Не нужно говорить, что от этого напрямую зависит качество работы сайтов, ну и вообще — это основная задача устройства.
Мы связались с представителями компаний разработчиков в России, описали свои задачи и запросили тестовые образцы. Проблем с «нужным» трафиком у нас нет — к нам каждый день «приходит» DDOS в том или ином виде.
Arbor — это первое на что мы обратили свое внимание. В начале года на одной из международных конференций, мы получили заряд маркетинговых данных на их секции. На первый взгляд всё выглядело слишком красиво =), посмотрим что будет дальше.
Как раз в это время у них появился продукт Pravail для корпоративного сегмента (до этого была только Peakflow для провайдеров магистрального уровня). Это было именно то, что нужно нам.
В апреле к нам приехал Кирилл Касавченко, который работает с клиентами в EMEA, показал нам Peakflow в действии (что усилило наше мнение об избыточности системы для нас), рассказал много интересного о DDOS атаках и мы расстались в ожидании теста Pravail'a.
Через месяца два он приехал! По сути, это 2U шасси Intel с хитрыми болтами, любопытно конечно, но ломать ничего не будем.
Сразу отвезли в ЦОД, прикрутили, подключили, подняли IP и все заработало. В нашей системе есть сервер (Protos), где мы защищаем пользователей от атак своими методами, там всегда есть паразитный трафик, точнее был, до того, как мы не пустили весь трафик сервера через Pravail. Работает!
Для защиты систем создаются группы, к которым применяются соответствующие правила и все. Остается только следить за графиками. Есть типовая настройка и немного более детальная, но как правило — для работы достаточно базовых значений. Мы тестировали его работу на одном из наших DNS серверов, на MX и конечно вебе. Мы были удовлетворены его работой по всем сервисам.
Пожалуй самый главный минус — это цена. Pravail дорогой, Peakflow — космически дорогой (почти как Curiosity=).
Система, которую нам прислали состояла из трех устройств: ADS 6000 (собственно сам модуль защиты), ADS-M1600 (устройство управления) и NTA-2000 (анализатор).
Вместе с тремя устройствами приехало три человека из Китая и два из Москвы (не переводчики). Тут начали закрадываться первые подозрения.
Мы встретились у ЦОДа утром 16 мая, обменялись приветствиями и пошли делать инсталл оборудования. Перед установкой — состоялся краткий митинг, где мы нарисовали схему подключения, договорились о деталях и пошли в зал.
Для начала решили сделать обычную простую схему защиты, ничего особенного:
Через три часа напряженной работы у наших друзей из-за Великой стены начали садиться батарейки, а зарядка оказалась одна на троих. Еще через два часа они подключили своего коллегу «оттуда» и наших гостей стало шестеро.
В итоге, часов через 6 после различных манипуляций с оптическими модулями (у них все с собой=) и перепрошивок железа разными прошивками, лампочки замигали как надо и схема таки поднялась. Смущал только китайский флаг на лицевой стороне корпусов. Но на фоне первой победы — эти мысли отошли.
Ура. В офис, донастраивать и радоваться результатам!
В офисе. Пришло время знакомства с интерфейсом лицом к лицу. Отстой. Некоторые окна с текстом на китайском. Графики ужасны. Через полчаса уже хотелось все закончить, но из уважения (солидарности?) мы внимательно изучали все аспекты этой системы. До анализа трафика дело так и не дошло. Тоже опыт.
Первое впечатление — самое важное, мы это понимаем — они видимо нет.
Улыбкаужаса радости на моем лице — все будет хорошо!
Честно, я не понимаю, почему он так на меня смотрит, голодный может.
На следующий день мы сняли все оборудование и отправили обратно.
Периметр к нам приехал в виде сервера HP 1U на двух оптеронах,стыдно честно сказать — мы даже не смогли разобраться в его интерфейсе, поэтому более-менее развернутого рассказа не получится. По слухам — переписанный «нашими» программистами Peakflow, еще его используют в РТ.
Нам прислали достаточно мощный аппарат DefensePro 12412 (сравнения тут).
Он настолько суров, что мы даже не смогли предположить — что же такое там внутри. Установка и подключение к нашей системе пошли без проблем.
Для управления устройством необходимо развернуть виртуальную машину на VMWare, через которую осуществляется доступ. На момент тестирования возможность работать с аппаратом была только через Java-клиента (APsolute Vision).
Вроде все нормально, но когда мы начали разбираться с его интерфейсом — нам стало плохо =) И дело даже не в количестве настроек, коих в силу функций и назначения аппарата оказалось очень много — дело в скорости работы интерфейса управления. Он оказался ооооочень медленным. При переходе между разделами можно было налить себе кофе, потом кофе стало много.
Кроме того, интерфейс постоянно отваливался по каким-то мифическим таймаутам и, к сожалению, оказался совсем не красивым. Даже прибывшие нам на подмогу специалисты из Москвы и Тель-Авива удивлялись тормозам «нашей» системы, сошлись на том, что ее надо обновить и у нас «не тот» образ VMWare, но особого значения это уже не имело.
Заключение
Мы не будем говорить о том, что хуже или лучше, для себя мы решение приняли. А выводы делать только вам.
На сайты наших пользователей, да и на наши сервисы, постоянно идут DDOS атаки. Всё это время мы в полуручном режиме работаем по каждой проблеме, но атаки становятся всё сложнее и чаще, и для дальнейшего отражения атак нужна артиллерия другого уровня.
За последний год мы детально изучили вопрос средств защиты от DDOS атак. Этот пост о том, как мы искали надёжное, эффективное и удобное решение “из коробки”.
Как и все любознательные люди — мы начали с изучения рынка существующих устройств защиты. Мы выбрали основных, самых известных производителей:
- Arbor Networks — США
- NSFocus — Китай
- МФИ-софт — Россия
- Radware — Израиль
Как мы выбирали
Мы не магистральные провайдеры и тратить время, копаясь в сотнях параметров защиты от DDOS нам не хотелось, поэтому одним из важнейших качеств была простота в настройке и управлении.
Кроме того, нам необходимо высокое качество фильтрации. Не нужно говорить, что от этого напрямую зависит качество работы сайтов, ну и вообще — это основная задача устройства.
Мы связались с представителями компаний разработчиков в России, описали свои задачи и запросили тестовые образцы. Проблем с «нужным» трафиком у нас нет — к нам каждый день «приходит» DDOS в том или ином виде.
Arbor — это первое на что мы обратили свое внимание. В начале года на одной из международных конференций, мы получили заряд маркетинговых данных на их секции. На первый взгляд всё выглядело слишком красиво =), посмотрим что будет дальше.
Как раз в это время у них появился продукт Pravail для корпоративного сегмента (до этого была только Peakflow для провайдеров магистрального уровня). Это было именно то, что нужно нам.
В апреле к нам приехал Кирилл Касавченко, который работает с клиентами в EMEA, показал нам Peakflow в действии (что усилило наше мнение об избыточности системы для нас), рассказал много интересного о DDOS атаках и мы расстались в ожидании теста Pravail'a.
Через месяца два он приехал! По сути, это 2U шасси Intel с хитрыми болтами, любопытно конечно, но ломать ничего не будем.
Сразу отвезли в ЦОД, прикрутили, подключили, подняли IP и все заработало. В нашей системе есть сервер (Protos), где мы защищаем пользователей от атак своими методами, там всегда есть паразитный трафик, точнее был, до того, как мы не пустили весь трафик сервера через Pravail. Работает!
Для защиты систем создаются группы, к которым применяются соответствующие правила и все. Остается только следить за графиками. Есть типовая настройка и немного более детальная, но как правило — для работы достаточно базовых значений. Мы тестировали его работу на одном из наших DNS серверов, на MX и конечно вебе. Мы были удовлетворены его работой по всем сервисам.
Пожалуй самый главный минус — это цена. Pravail дорогой, Peakflow — космически дорогой (почти как Curiosity=).
Система, которую нам прислали состояла из трех устройств: ADS 6000 (собственно сам модуль защиты), ADS-M1600 (устройство управления) и NTA-2000 (анализатор).
Вместе с тремя устройствами приехало три человека из Китая и два из Москвы (не переводчики). Тут начали закрадываться первые подозрения.
Мы встретились у ЦОДа утром 16 мая, обменялись приветствиями и пошли делать инсталл оборудования. Перед установкой — состоялся краткий митинг, где мы нарисовали схему подключения, договорились о деталях и пошли в зал.
Для начала решили сделать обычную простую схему защиты, ничего особенного:
Через три часа напряженной работы у наших друзей из-за Великой стены начали садиться батарейки, а зарядка оказалась одна на троих. Еще через два часа они подключили своего коллегу «оттуда» и наших гостей стало шестеро.
В итоге, часов через 6 после различных манипуляций с оптическими модулями (у них все с собой=) и перепрошивок железа разными прошивками, лампочки замигали как надо и схема таки поднялась. Смущал только китайский флаг на лицевой стороне корпусов. Но на фоне первой победы — эти мысли отошли.
Ура. В офис, донастраивать и радоваться результатам!
В офисе. Пришло время знакомства с интерфейсом лицом к лицу. Отстой. Некоторые окна с текстом на китайском. Графики ужасны. Через полчаса уже хотелось все закончить, но из уважения (солидарности?) мы внимательно изучали все аспекты этой системы. До анализа трафика дело так и не дошло. Тоже опыт.
Первое впечатление — самое важное, мы это понимаем — они видимо нет.
Улыбка
Честно, я не понимаю, почему он так на меня смотрит, голодный может.
На следующий день мы сняли все оборудование и отправили обратно.
Периметр к нам приехал в виде сервера HP 1U на двух оптеронах,
Нам прислали достаточно мощный аппарат DefensePro 12412 (сравнения тут).
Он настолько суров, что мы даже не смогли предположить — что же такое там внутри. Установка и подключение к нашей системе пошли без проблем.
Для управления устройством необходимо развернуть виртуальную машину на VMWare, через которую осуществляется доступ. На момент тестирования возможность работать с аппаратом была только через Java-клиента (APsolute Vision).
Вроде все нормально, но когда мы начали разбираться с его интерфейсом — нам стало плохо =) И дело даже не в количестве настроек, коих в силу функций и назначения аппарата оказалось очень много — дело в скорости работы интерфейса управления. Он оказался ооооочень медленным. При переходе между разделами можно было налить себе кофе, потом кофе стало много.
Кроме того, интерфейс постоянно отваливался по каким-то мифическим таймаутам и, к сожалению, оказался совсем не красивым. Даже прибывшие нам на подмогу специалисты из Москвы и Тель-Авива удивлялись тормозам «нашей» системы, сошлись на том, что ее надо обновить и у нас «не тот» образ VMWare, но особого значения это уже не имело.
Заключение
Мы не будем говорить о том, что хуже или лучше, для себя мы решение приняли. А выводы делать только вам.
