Pull to refresh

Comments 108

Спасибо за хорошую статью, вроде на пальцах, а доступно и доходчиво про атаки и их защиту расписано. Желаю дальнейших успехов в столь благородном деле!

Подскажите, а были ли обращения к вам финансовых учреждений (где персональные данные, фин.транзакции и другая чувствительная информация), или такие предпочитают защищаться коробочными решениями а-ля Arbor, Radware?
Надо отметить что у Radware девайс Defence Pro для защиты 1Gbps стоит порядка 50 000$. Это конечно очень дорого, но для компаний, политика безопасности которых, не позволяет фильтровать трафик «на стороне» может рассматриваться как вариант.
Несколько важных замечаний:
— вам понадобится миниум 2 инженера понимающих в проблеме и оборудовании;
— канальные емкости в 1Gbps.

При этом:
— атаки скоростью выше 1Gbps получил каждый пятый наш клиент;
— скоростью выше 10Gbps — каждый десятый;
— L7 фильтрация у RADWARE лучшая из того что умеют applice, no современным вызовам это явно не соответствует;
— если вы говорите о x06 серию то ее производительность это 1Mpps, для генерации такого потока пакетов вам хватит одного 50EUR/month сервера в hetzner.

И самое важное: Распределенным атакам можно эффективно противодействовать только имея распределенную инфраструктуру. В противном случае вы оказываетесь в стратегически невыгодной позиции…
> Несколько важных замечаний:
> — вам понадобится миниум 2 инженера понимающих в проблеме и оборудовании;
Не совсем так, можно отказаться от саппорта и использовать девайс «как есть», но лучше доплачивать (5 000$/год) и получать апдейты сигнатор атак и саппорт, тогда все за вас далают инжинеры Radware, ты только запускаеш программу-управлялку и смотриш какой интенсивности и какой тип атаки происходит.

>— канальные емкости в 1Gbps.
Ну тут по другому никак.

> При этом:
> — атаки скоростью выше 1Gbps получил каждый пятый наш клиент;
> — скоростью выше 10Gbps — каждый десятый;
> — L7 фильтрация у RADWARE лучшая из того что умеют applice, no современным вызовам это явно не соответствует;
> — если вы говорите о x06 серию то ее производительность это 1Mpps, для генерации такого потока пакетов вам хватит одного 50EUR/month сервера в hetzner.
Я говорю о «DefensePro 1016», да он держит до 1Mpps, вы сами знаете что такая атака непродолжительна во времени, т.к. такое количество пакетов будет напрягать комутационное оборудование всех участников процесса (в том числе и hetzner)
Но на этот случай у нас в Украине есть TanHost. Они могут отбить до 2Mpps (год назад, сейчас может и больше), они как и вы используют свои разработки для фильтрации.

> И самое важное: Распределенным атакам можно эффективно противодействовать только имея распределенную инфраструктуру. В противном случае вы оказываетесь в стратегически невыгодной позиции…
Согласен, но я все же от тех 80% атак отбивался бы своим девайсом а от больших с помощью компаний как Ваша или TanHost.

Года 2 назад после одной из конференций Вы мне сказали что Вам рынок Украины не интересен, ну вот мы и нашли TanHost. :)
>запускаеш программу-управлялку
это миф.

> Ну тут по другому никак.
как.

> 1Mpps, вы сами знаете что такая атака непродолжительна во времени, т.к. такое количество пакетов будет напрягать комутационное оборудование

не будет. свитчи оперируют цифрами в 100Мегапакетов. Полюбопытствуйте сколько Mpps держит даже дешевый D-Link.

>Года 2 назад после одной из конференций Вы мне сказали что Вам рынок Украины не интересен,
Дословно я сказал что мы не планируем ставить там точек присутствия и открывать юр.лицо пока не наберется достаточной массы заказчиков чтобы сделать эти мероприятия экономически целесообразными. У нас есть клиенты со всего ex-USSR пространства, особенно можно выделить Армению и Украину.

> Они могут отбить до 2Mpps (год назад, сейчас может и больше)
В 2012 году ситуация с high-pps атаками вкорне поменялась. В результае если вы имеете 2Mpps на всех заказчиков — вы можете получить премилую братскую могилку.

Ну и вообще весь ваш комментарий очень смахивает на незатейливую рекламу TanHost — защита от ddos, ddos защита, защита от ddos-атак, anti-ddos.
>> запускаеш программу-управлялку
> это миф.
У нас работает именно так.

> В 2012 году ситуация с high-pps атаками вкорне поменялась. В результае если вы имеете 2Mpps на всех заказчиков — вы можете получить премилую братскую могилку.
Ok, тут Вам виднее.

> Ну и вообще весь ваш комментарий очень смахивает на незатейливую рекламу TanHost
Я глубоко законсперированый агент Radware, а TanHost это так подрабатываю :)
>>> запускаеш программу-управлялку
>> это миф.
>>У нас работает именно так.

В эти выходные тестили кое-кого с RADWARE.
Навылет ;)

ЧЯДНТ?
Есть опыт сотрудничества с банками, торговыми площадками, госами, итд.

С госами предпочитаем работать через партнеров, поскольку наша логика не совместима с ними на уровне ДНК.
Госы в нашем представлении выглядят вот так:

image
Хорошо, что кто-то зарабатывает на этом деньги и на другом конце :-)
На любимый вопрос всех российских стартаперов «какая у тебя тачила?» — я отвожу глаза в сторону и бормочу «метро и электричка»…

Зато у нас есть МИССИЯ: «Сделать затраты на проведение успешной атаки на порядок выше чем стоимость контр-мер.»
Отсюда и цено-образование.

Кстати, даже на самых дешевых тарифах работает «полная» версия Qrator — такая-же как и на топовых тарифах 100kRUR+.
Отличий всего два:
— мы не принимаем на себя возможные риски по оплате полосы;
— приоритетность обработки запросов сотрудниками NOC.
Здравствуйте. Вы сказали, что
Мы пытались писать статьи на Хабре и рассказывать на отраслевой конференции, как самостоятельно защититься от атак базового уровня. Но, к сожалению, это не возымело никакого эффекта.

Мне кажется что статьи на эту тему будут в мега интересны большинству людей читающих хабр.
Пожалуйста возобновите их написание :)
Постараемся.
Нужно ВРЕМЯ. Время — бесценно. Особенно в ноябре-декабре каждого года.
Хороший бизнес, борцы с атаками могут и сами осуществлять атаки, для получения новых клиентов.
Ага, как и антивирусы — писать вирусы, травматологи — ломать ноги в подворотнях, чистая вода — сбрасывать токсичные отходы в реки…
Сарказм если что.
Стандартное замечание номер 2.
Андрей, от клиентов у Вас наверно в компании отбоя нет?)
а светофоры ломают автосервисы!

Если серьезно, то при нашем роде занятий мы просто вынуждены быть белыми и пушистыми.
Это, увы, касается и налогов. Налоговая нагрузка на небольшие IT-компании в России — это покруче любого DDoS.

Такая вот Грустная Ковбойская Песня, по случаю близящегося конца года :-/
Кстати, недавно интересовался текущей актуальной стоимостью ddos. На удивление, цены в $20/сутки действительно существуют. Конечно, уровень подобных атак оставляет желать лучшего и скорее всего на другом конце была школота, делающая GET '/'.

Хотя, надо сказать что недавно в рамках дружеского пентеста, удалось положить на 2 часа достаточно крупный блогосервис простой многопоточной питоньей программой, в 300 тредов запрашивающей список всех пользователей сервиса.
Крайне интересная статья!
Толковых материалов про DDoS в Интернете не так много.
Поэтому пишите еще!!!
Главное знать кто на тебя валит атаку… тогда в DNS просто поворачиваешь сайт на его IP
Зависит от вектора атаки. Что если атака идёт прямо по IP без резолва через DNS?
Главное, что своей цели атакующие достигнут — ваш ресурс не будет доступен.
UFO just landed and posted this here
Это тонкий сарказм или обычно он хуже выглядит?
Григорий, сложно иметь кубики проводя за монитором 12 часов в сутки и имея такую нервную работу как у меня.
Ну право, я-же не Брэд Питт ;) Хотя, если сравнивать например с Крисом Касперски — то очень даже ничего для своих лет выгляжу.
Same here ;) Потому и отношусь к высказываниям а-ля классно выглядишь с подозрением :) То ли шутят, то ли издеваются.
UFO just landed and posted this here
Есть еще один фактор: >90% ботов расположено сейчас в странах третьего мира. Поэтому первая и самая простая мера противодействия — отсечь третий мир на уровне рутинга. Если конечно сайт изначально не ориентирован на эти страны, но таких меньшинство.
Если на вас направят атаку с миллиона машин, то никакое «отсечение» не поможет
Согласен (хотя тоже смотря где отсекать). Но в статье правильно сказано:

>> Ботнетов на десятки миллионов компьютеров становится всё меньше и меньше.

Средний размер ботнета падает. Подавляющее большинство атак проводится силами до нескольких десятков тысяч машин.
Ну, во-первых, намного меньше 90%, если мы говорим о Рунете. Во-вторых, даже если сайт ориентирован только на жителей, например, Владимира и Владимирской области, нельзя забывать о том, что владимирцы часто ездят отдыхать и работать за границу.
>Highload Lab прибыльна
И немножко опасна ;) Сколько раз в месяц к вам поступают серьезные угрозы? В последнее время ещё замечены атаки от провластных субьектов, уверен, они тоже давят на защищающую сторону, не только на атакуемый ресурс…

>Мы принципиально не связываемся с сайтами, содержащими пиратский контент, имеющими нацистскую или порнографическую направленность, с фарма-партнерками и прочей интернет-грязью.
А с пирамидами? Относительно законны, с виду не грязны, и главное, платят хорошо… ))

И ещё вопросик. С защитой https у вас как дела обстоят? Используются ли crypto-ускорители?
Присоединяюсь к вопросу про инспекцию HTTPS — интересно узнать как вы это реализовываете.

Знаю схему Radware, там вообще 3 устройства рекомендованы к применению: защита от «общего» DDoS (DefensePro, установка до пограничного фаервола), затем терминация HTTPS на балансировщике (Alteon) с последующей петлей расшифрованного трафика на очиститель DefensePro, и затем окончательная фильтрация на фаерволе уровня приложений (WAF, AppWall). Существуют, конечно, и упрощенные схемы защиты, но там приходится чем-то жертвовать.
С HTTPS мы работаем несколькими способами:

— с раскрытием сертфиката (самый простой);
— без раскрытия сертфиката
— c предварительной авторизацей нешифрованным каналом (i.e. подпись мерчанта, для платежных систем);
— с сервисом QLOG — усеченный классификатор работающий поверх realtime логфайлов сетевого сервиса заказчика, работает не так хорошо как оригинал по причине отсутствия информации о соединениях, но работает)
— клиент управляет периметром сети Qrator через QAPI, наполняя в режиме реального времени черные/белые списки

Перечисленные методы фильтрации SSL без раскрытия сертификатов могут применяться как поотдельности так и в любых комбинациях. Cущественным недостатком является необходимость провести определенные работы на стороне приложения заказчика, особенно в случае когда имеем подключаемое приложение под атакой.
парсер немного изуродовал иерархию буллит-листа.

Подразумевается две категории фильтрации:
— с раскрытием
-без_раскрытия, с подпунктами.
Спасибо, исчерпывающе!
Пардон, совершенно упустил пару важных вопросов.

О провластных субьектах — мы так-же работаем и с ФГУП и органами власти. Среди таковых есть наши заказчики. Статья вышла в феврале, в марте мы отлично отработали по webvybory2012. Как написано в интервью — мы аполитичны.

С Пирамидами (HYIP) — мы не работаем. Обычно они мутные даже на уровне юр.лица.
Спасибо, но больше всего интересовал ответ на первый вопрос — насколько прессуют и откуда больше всего идет давление? ) Ведь досеры очень-очень не любят защищающие сервисы и готовы потратиться (а также рисковать отношениями с криминальным кодексом), лишь бы не уменьшался их доход.
А что если защитить надо не web-сервер, а ну даже банальный сервер упомянутой Linage с этим как то справляются?
Мы принципиально не связываемся с сайтами, содержащими пиратский контент

Подозреваю, что с такими проектами ребята не связываются =)
Linage взята для примера, вопрос относится к исключительно легальному контенту.
Привет.
TCP до 5-го уровня прикроем полностью и передадим периметр сети в управление Клиенту посредством QAPI ((черные|белые) списки | ( drop|accept ) политики ).
В случае если протокол пользуется популярностью — докрутим для него классификатор.

С UDP, в силу отсутствия 3-way handshake, все сложнее. Надежно прикрыть UDP сервис можно только в случае возможности аутентификации IP адреса.

Надеюсь ответил на Ваш вопрос.
Пользуюсь услугами этой компании. Очень обрадовали ценой, за те же услуги Лаборатория Касперского берёт от 100 тыс. рублей ($3000) в месяц или, со скидкой, от 1 млн рублей ($30 000) за год. В HLL это же обходится в $150 в месяц.
Спасибо, что доверили нам самое дорогое — свой трафик.

Мы прекрасно понимаем — самыми беззащитным является именно малый бизнес, у которого просто нет технических возможностей противодействовать этой проблеме. И хотя наш биздев регулярно приносит статистику по которой видно что ~75% гемороев нашей тех.поддержки это «5000-тариф» и это убытки — считаю его наличие нашей «социальной ответственностью». В планах на 2013 он останется почти без изменений. С другой стороны, доступность услуги это большее количество трафика и атак на которых можно обучаться. Все в выигрыше.
Крутая интересная статья, пишите ещё!!! Молодцы, ребята!
Интересная статья, но мне не понравился поклеп в сторону хостеров, типа: «некачественный», «ничего умнее не придумал… » Давайте смотреть на вещи более объективно — каждый должен заниматься своим делом, хостер — размещать сайты, а компании по защите от DDoS атак — защитой. Мы же не ходим в автомагазин за хлебом, очевидно же, что предоставляя услугу какого-нибудь виртуального хостинга за символические 100р. в месяц никто не будет держать сайт под атакой, огребая при этом счета от дата-центра за трафик, получая недовольства от других абонентов, все это просто коммерчески не интересно. Да и абонент выбирая место размещения должен отдавать себе отчет, в том насколько критичен простой его сайта и тем более зная, что его сайт подвержен атаке, должен сам позаботится о его защите обратившись например к вам, а не бегать когда петух клюнет.
Все верно, увы не все хостинги это понимают. Поэтому возникают мифы о том что DDoS — это стихийное бедствие и решить эту проблему невозможно.

Вот кстати пара интересных ссылок на дискуссию в которой отлично видна разница между нами и хостерами в восприятии проблемы:
seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz/
seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz_2/
Ну как я считаю, что хостер должен соблюдать тарифные условия: куплен у меня 1 Гбит канал — он должен мне его предоставлять, если на меня идёт 10 Гбит атака, то 9 Гбит он должен отсекать, а не слать всё в /dev/null (включая айпишники, которые в DNS не засвечены). Помощи мне от него не требуется, мне нужно чтобы он мне не мешал.

Это тот случай, когда теория массового обслуживания должна работать на меня.
Это в «идеальном мире» так.
На практике… Ну вы все знаете…
Честно говоря не владею статистикой хостеров, но неужели часто совпадают атаки по времени на всех клиентов? Имхо, «хорошо» если на 1% клиентов атаки проводятся.
Хорошая статья.
А я дом-2 писал как раз в то время, когда они его фильтровали.
Реально не падал.
Защита от копирования/парсинга информации с веб приложения, схожа с защитой от DDOS, ведь по сути там тоже применяются боты/прокси.
Такое вообще реально сделать, и занимаетесь ли вы этим?
да. это «бонус трэк» от классификатора. он светит весь автоматизированный инструментарий. Есть прецеденты когда мы чистили по заказу именно от датамайнеров и спаммеров.
Вы напишите поближе к цифрам большим красным шрифтом, что траффик в таблице указан легитимный. Я пока не прочитал кучу комментариев, думал, что у вас заоблачные цены.

Это же сколько клиентов так потерять можно.

Еще лучше «легитимный» написать как-то попроще и понятней.
Спасибо за замечание.
У нас тарифная сетка радикально меняться будет с нового года, и я надеюсь она будет проще и понятней.

Просто когда у нас появлялись деньги — мы не сомневаясь брали еще одного разработчика, а не маркетолога или продажника.

Месяц назад у нас вышел новый человек с релевантным техническим образованием и практикой маркеттинга в телекоме, и я надеюсь весь этот ужас в том что называют «маркетинговые материалы» мы приведем в порядок.

Мне лично очень-очень стыдно за тексты на qrator.net|highloadlab.com ;) Обещаю исправиться.

кстати, а какой синоним подходящий тут можно подобрать?
«Либеральные цены»
Например:
Либеральные цены для представителей малого бизнеса.
По-хорошему, нужно пораздумывать, набросать несколько вариантов и показать ващей целевой аудитории. Только с условием, что они не будут вчитываться, а быстро просканируют текст и ответят на ряд нечетко заданных вопросов.

Мне в голову пока приходит название колонки таблицы «Ваш траффик без атаки» или «Траффик ваших настоящих пользователей». Для надежности можно рядом сделать колонку «Примерный траффик во время атаки», с диапазоном. Неважно, что он сильно зависит от типа атаки, лишь бы был контраст для лучшего понимания.
Интернет такой хрупкий… Берегите его.
Как вы относитесь к вашим конкурентам — сервису Cloudflare с базовым бесплатным тарифом? Вы пишете, что 56 Гб/с — это «последнее средство», а они в своем блоге пишут, что с такими атаками легко справляются за 30 минут: blog.cloudflare.com/65gbps-ddos-no-problem. Можете ли вы это прокомментировать?

1. cloudflare это вообще про другое.
2. насколько я знаю, таких атак они не видывали (читаем статистику arbor за 2012).
3. в базовых тарифах ничего про ddos нет.
4. тариф где есть про ddos начинается от 200$ (больше чем наши 5000RUR).
5. заниматься этой проблемой факультативно — занятие бессмысленное.

По емкости R&D она бездонна. Судя по тому feedback который мы получаем от клиентов — для cloudflare это именно факультатив.
Мерять «мощности» атаки в гигабитах бессмысленно. Вот в потерях аудитории мерять можно, и cloudflare тут похвасться нечем.

Та-же incapsula, применительно к DDoS, выглядит существенно интересне, но страдает от тех-же болячек…
> 2 сентября к нам пришел Хабрахабр под атакой 6 Гбит
Можно ли считать нагрузку от хабраэффекта в 6 Гбит? )
Нагрузки от хабраэффекта существенно ниже 6Gbps. Я как краевед заверяю.
Александр, а вы ведёте списки ipшников ботов? ведь их достаточно конечное количество.
это имеет какой-то смысл?
то что «тело» ботнета «плывет» в адресном пространстве за счет динамических пулов, проксей и естественного процесса заражения/исцеления — это понятно.

так-же понятно что некоторые AS имеют тенденцию быть «рассадниками» и выделяются на общем фоне.
так-же понятно что перехватывать мусор дешевле ближе к его источникам.
я вот немного не понимаю. если вы ловите пакет, он уже дошел. есть какая-то разница принят он или отклонен для загрузки канала?
В статье есть об этом. На приём пакета практически не тратится ресурсов, в отличие от обработки пакета сервером и формирования ответа, что требует некоторых ресурсных мощностей.
Как минимум в небольшом промежутке времени это blacklist с минимумом производимой работы. Даже тупо проверка Ip по таблице. Как вариант максимум — стучать провайдерам, хозяевам этих адресов, что в такое-то время, с такого-то адреса была произведена атака и т.д. Провайдеры тоже не дураки и в лучше случае выйдёт на абонента и в итоге в идеале минус 1 бот. Автоматизировав процесс это можно сильно испортить жизнь плохим парням.
да. и у нас даже есть идеи что с этим делать.
Нагрузки с хабра выдерживает любой шаред хостинг. если нет изянов в днк сайта :)
Статья отличная. Вопрос кто будет платить за DDOS. Да никто. Я на своем опыте даже районные конторы не видел под DDOS. Это как раз стандартная ситуация. IT персонал пытается показать важным мужчинам, что вокруг куча хакеров.

Нет. Есть и хабр эффект Это да. Но DDOS. В России. Можно я вас угощу коньяком КВ если вы мне его покажете?
Вы видимо из паралелльной вселенной. Приблизительно из той-же самой где в России инновационная экономика.
UFO just landed and posted this here
А насколько эффективны будут фильтры, которые воспроизводят реальное поведение пользователей? Скажем уволенный админ, имевший доступ к серверным логам, исходникам движка, знающий все нюансы работы за годы, решил отомстить за то, что его не оценили и воспользовался известной ему информацией и послал ботов с точностью до милисекунды воспроизводящих реальных юзеров путем повтора запросов из логов.
Саш, вы походу и ботов можете ловить в ММО-шках, по описанию что на уровне приложения смотрите — один в один наш датамайнинг :)
Дим, думаю общие принципы одни и те-же…
В сентябре на одного клиента была атака, в результате он ушел к вам, при этом и сам сайт перенес на другой хостинг, поскольку атака продолжалась на площадку в целом, сменя айпи не помогла (это простой витруальный хостинг). Короче, мой сервер долбили до тех пор, пока этот клиент не поднял сайт на стороне. Атака продолжалась и после этого (я видел графики Мбпс), но сайт работал, и это уже была не моя проблема.

Итого, вместо 100-300 руб. контора сечас платит их же, плюс 5000 рублей (или больше, я не в курсе текущей нагрузки).

А сейчас, внимание, вопрос — насколько легко воспроизводится (или покупается) ваша технология? Не хочу оскроблять подозрением, но «не самое прибыльное использование ботнетов» может стать как раз самым прибыльным, если применить комбинацию «стекольщика и мальчика с рогаткой». Атака на пару недель (как в моем случае) гарантировано приводит клиента к «антиддосерам» (будем считать, что к нужным), после чего ботнет можно выключать, никуда не денутся. Особо суетливых можно для закрепления эфекта можно контрольно побеспокоить спустя какое-то время.

Насколько бредовая бизнес-идея антиутопия?
Там выше есть описание.

Мы не хостинг. Мы не предоставляем услуги хостинга и не планируем их предоставлять.
Мы не рекомендуем заказчикам менять хостинг, за исключением тех случаев когда хостинг ведет себя неадекватно.

В качестве примера приведу вам случай из сентября.
К нам пришел небольшой е-коммерс торгующий, ну например кедровыми бочками. С обычной, ничем не выдающейся атакой.
В пятницу атака повторилась. Пришел новый, ботнет. Фильтры его разучили за 5-7 минут. Проблема в том что эти первых нескольких секунд атаки мы пропускали ~9kRPS, cледующие 5 минут мы пропускали ~2kRPS вместо обычных 3-5RPS. На 7й минуте мы полностью отфильтровали атаку и вернулись к 3-5RPS.

Что сделал хостинг:
— заблокировал Qrator перманентно;
— не реагировал на просьбы клиента снять блокировки;
— самовольно изменил DNS записи клиента переведя трафик на свои фильтры;
— растянулся вместе со всем своим ДЦ вечером воскресенья;
— заблэкхолил IP клиента, фактически выключив его;
— продолжал игнорировать все просьбы заказчика;
— обеспечил клиенту «выходной в понедельник»;

Не удивительно что клиент потерял все остатки лояльности к таким «Помошникам» и пришел просить порекомендовать ему адекватный хостинг. Мы порекомендовали Dataline.

Что осталось за кадром: хостинг купил некую чудо-железку «запускаеш программу-управлялку и смотриш какой интенсивности и какой тип атаки происходит» и поскольку чудо-железка стоит чудо-денег, то всего навсего 1час работы с инцидентом у них стоит 9000RUR против 5000RUR у нас.

На ваши-же упреки о вине жестянщиков в сегодняшнем прогнозе погоды я отошлю вас к обсуждению этого-же вопроса выше в теме и добавлю одно простое замечение: это достаточно обычное поведение атакующих при смене A записи в DNS жертвы — оставить часть атаки на старом IP для потстраховки, и перейти на новый. Маленьким шаред хостингам тут будет совсем невесело.
В вашем перечне «что сделал хостинг», кстати, могла повториться моя ситуация, вы об этом могли и не узнать, так ведь? Атака на них могла продолжалаться в обход нового адреса, это вы признаете. Что им реально делать-то? Тут проблему может решить только торговец бочками, обратившись к вам и утащив свой сайт подальше со старой площадки. Как минимум, потребуется сменить сервер. Так?
Да могла. Единственное что нам нужно от хостера — получить работающее приложение заказчика любом доступном IP адресе, и желательно оперативно. Все остальное мы оставляем на усмотрение самого хостинга, мы не эксперты в этом бизнесе и не считаем себя вправе давать рекомендации.
Все бы хорошо но есть несколько но:
1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про 24 часа). Под атакой может быть критично.
2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.
3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), т.е. по хорошему нужен хороший IPS.
5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и методики работы )
6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
7. Что делать если нужно поставить под защиту целую сеть?

На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься всерьез…
Linco, я в целом поддерживаю. Был опыт атаки внутри корпоративной сети, 8G давали на магистраль, естественно что весь трафик стекался к ЦОДам. Вот честно, IDSM2 просто умер и отказался форвардить трафик его пришлось выкинуть из сети, спасло только одно FWSM + MARS (да старый добрый марс), который и помог нам оптимально написать правила для FW и вычислитить трафик. Кстати, сделал для себя еще очень важную заметку, если в сети доступны любые loopback роутеров и не работает CoPP то роутерам хана, если работает CoPP то роутерам хана полюбому. Это я в плане защиты IGP говорю, для нас слава богу решение было заложено в начале стройки сети, использовали IS IS и не вязались к loopback + VRF из которых боты не смогли вырваться к GRT что бы его сложить. Кстати в сети был легкий фон на OSPF атаку, всякого рода hello пакеты на IP адреса роутеров, т.е. пытались подлезть к СР через NBMA атаку. В общем и целом, защитить сеть можно если есть голова на плечах и достаточно денег на инвестиции в производительное оборудование )

Защиту приложений можно выделить в отдельную сферу, и данный материал дал небольшую пишу для размышлений в ключе интеграции приложений и систем обнаружения/защиты.

P.S. извините если сморозил какие-то глупости — утро )
«если работает CoPP то роутерам хана полюбому» — действительно глупости пишите ;), либо уж поясните на примере.

Советую ознакомится с RFC 6192, довольно свежий и очень полезный документ, тем более для SP.
Эм с СоРР я как раз не ошибся. Есть небольшой нюанс его работы — Process Swithing. Сами понимаете сделать так чтобы RP не отвечал на запросы вполне реально, кстати это можно рассматривать в контексте атаки на распределнные коробки с DFC которые как заявляют имеют возможность обрабатывать ACL на ASICе карты в рамках интересов СоРР. САми посмотрите, если светиться loopback на котором терминируется BGP сессии, и в CoPP будут правила для фильтрации трафика этих сессий то теоретически есть возможно вызвать  input query congestion для loopback тем самым получить отказ в обработке BGP. ДА можно должго рассуждать насчет скоросте работы шины от карты до PFC и от PFC до CSP но факт остается фактом CP надо защищать на границе сети но не коробке.
Либо вы сами запутались, либо пытаетесь запутать других, третьему не бывать:).

Пример: на роутере с поднятым процессом BGP имеется слушающий сокет на 179 TCP. Если вы зарядите SYN флуд на 179 порт лупбэк интерфейса и при этом CoPP будет не настроен, то получите профит и не только потому что SYN пакеты будут Process Switching. Тут несколько вариантов развития событий: переполненный backlog, умирание процессора супервизора от интераптов на высоком pps. И если backlog не дает устанавливать новые сессии от BGP пиров, то высокий pps (больше 100kpps не нужно) к процессору уложит все шасси.

Решить данную проблему как раз и призван CoPP, фильтруя пакеты на ASIC в forwarding plane, не давая умереть какому-нибудь слабенькому CPU 700MHZ у того же SUP720.
Да я немнго заплутал %) И вот где:
На больших коробках с DFC СоРР уложить практически не реально за исключением попробывать переполнить по прерыванием ресурсы асика выделенные под него. Но
то из области фантастики, а вот на мелких коробушках типа 72ХХ VXR это вполне себе вариант, т.к. там CoPP срачу лезет на process switching. Согласен с Вами подобные типы атак могут только прогресировать на аппаратно ушербных платформах.
>Кстати в сети был легкий фон на OSPF атаку, всякого рода hello пакеты на IP адреса роутеров, т.е. пытались подлезть к СР через NBMA атаку.

Что, простите? Адрес назначения ospf hello пакетов 224.0.0.5, уж никак не «IP адреса роутеров». Из этого следует, что hello не маршрутизируются. Что-то Вы путаете.
Есть такая штука зовется Non Broadcast Multiaccess, в такой топлогии можно задавать адреса соседей мануально, придумано для сетей которые не поддерживают mcast по своей природе — Frame-relay например
Если у вас control plane вашей сети торчит наружу — это GAME OVER.
Это автоматический game over… От идиотизма вообще ничего не спасает… Тут CP обсуждается в контексте железок — отдельных боксов в сети.
Ну если у Вас где-то используется FR, то легче забить канал, чем завалить RP, ведь максимум порядка 50кппс 64байтных пакетов может влезть в канал. Да, при такой интенсивности RP станет тяжело, но первым исчерпается все же канальная емкость.
FR я привел для примера. У меня был случай когда SP давал VPLS на который мне надо было натянуть OSPF, мультикаст не ходил в принципе, вот и пригодилась NBMA топология…
>Все бы хорошо но есть несколько но:

В ваших рассуждениях Все бы хорошо но есть несколько но:
>1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про >24 часа). Под атакой может быть критично.

Перенаправление DNS это в чистом виде SOA TTL value, держите его на уровне 5-30 минут, но вообще если у Вас есть риски получить атаку и 30 минут для Вас критично — ВЫ ОБЯЗАНЫ ПОДУМАТЬ ОБ ЭТОМ ЗАРАНЕЕ.
Все наши тарифные планы и логика работы фильтров намекают что мы не скорая помощь. В случае если вы уже подключены к фильтрам — велика вероятность что о факте атаки вы узнаете только из репортов Qrator.

>2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.

Cпасибо за лестное прилагательное. Вы обратите внимание на топологию «левого» ресурса. Там вы не найдете «левых» хостингов с «левыми» каналами или «левых» эксченджей без SLA на трафик.

Только крупные магистральные сети. Как вы думаете, почему?

Потому что топологию у нас считает 2 человека. Это раз.
Два — у нас уже открыты соединения к защищенным ресурсам, а RTT на открытие новых соединений от клиента к периметру нашей сети будет ниже, потому что мы расположены на магистралях. Эти меры более чем компенсируют возникающую задержку на обработку трафика, в чем вы можете убедиться посетив любой из «левых» ресурсов из нашего портфолио.

>3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
Все TCP протоколы (включая SMTP) мы успешно кроем вплоть до L5, если есть спрос — готовы свять классификатор.
С DNS все сложнее, поскольку он UDP. К сожалению ответить в комментарии не нахожу возможным, но эту задачу мы успешно решили.

>4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), >т.е. по хорошему нужен хороший IPS.

Можно чуть подробнее здесь разьяснить? И как IPS может быть вообще хорошим если он не понимает семантику приложения.

>5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. >есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет >в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой >страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и >методики работы )
Вы абсолютно правильно догадываетесь. Есть и другие варианты, например анализ частотности запросов или старые-добрые сигнатуры.

>6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в >предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с >атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно >мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 >систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
Вот здесь вы вообще не угадали ниодной буквы. Какой-то адов theorycraft. Эффективно чистить ЛЮБОЙ трафик который можно описать битмаской требует сравнительно мало ресурсов — кластер Ломоносов тут совершенно непричем. Толстые каналы — да это MUST HAVE, поэтому в наших тарифах фигурирует ценник за легитимную полосу.

Очень рад за обилие ваших «игрушек». Наши платформы умеют 8Mpps в текущей версии, но они стоят в стэке и финальные цифры получаются гораздо веселей, правда корпуса не такие нарядно-цветастые и лампочек меньше.

>7. Что делать если нужно поставить под защиту целую сеть?
Капитан подсказывает — «Проанонсировать ее по BGP?»

>На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними >атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься >всерьез…
Ваше утверждение верно с точностью до наооборот. Весь стэк технологий — это наша собственная разработка, отсюда невероятные возможности по интеграции с приложениями и сервисами заказчика, особенно когда это что-то нестандартное, большое и ресурсом занимаются всерьез.

Ни один вендор или набор вендоров вам этого не обеспечит.

Большие деньги — большие риски.
Больше больших денег только политика — которая, как подсказывают классики, есть концентрированное выражение экономики.
Мы занимались и оппозицей и госами, а так-же торговыми площадками и банками, СМИ и крупным e-commerce.
Вот prooflink: online.wsj.com/article/SB10001424052970204707104578090793159318064.html

А чем можете порадовать вы?
Политика — это концентрированное выражение экономики.
У меня к Вам встречный вопрос, что вы будете делать с атакой которую RADWARE пропустил? ;)
О как Вы близко к сердцу восприняли ) На самом деле ни в коей мере не хотел Вас обидеть или нивелировать достоинства Вашей системы, просто как и у любой системы в ней есть очевидные недостатки.
В своем решении, мы постарались свести эти недостатки к минимуму, за счет использования кроме собственных наработок «больших» железок разных вендоров, которые лучше всего решают кусочек задачи.
У нас так же есть собственные методы анализа и фильтрации, но мы считаем, что как минимум глупо считать, что мы самые умные и умнее множества профильных команд безопасников Arbor, Radware и т.п. которые десятки лет занимаются решением подобных задач имеют огромные финансирования и вообще строят на этом свой бизнес. Поэтому для решения каждой из проблем защиты от компьютерных атак мы стараемся подбирать лучшее оборудование+использовать свои наработки.
Поэтому если Radware не отобьет атаку, ее отобьет один из других элементов комплекса вот и все. ) насколько я знаю Radware плохо реагирует на очень медленные атаки, видимо о них идет речь? )) (пакет раз в несколько минут)
Зато на 99% атак он среагирует через 18 секунд, с высокой точностью фильтруя атаку, давая возможность администратору безопасности проанализировать дамп и отфильтровать максимум грязи на бордерах или дальше по миру.

Вы взяли текст годичной давности ориентированный на аудиторию журнала Хакер, и делаете какие-то выводы даже не посмотрев на предмет который обсуждаете.

Ваш-же очевидный уже сейчас недостаток — theorycraft. Вы безусловно имеете представление о предмете, но оно явно поверхностно.

Вообще дискуссия явно вышла за рамки пикировки в комментах, вы приходите лучше в гости на чай — расскажете о своей системе, а мы укажем вам на очевидные ее недостатки и покажем пару новых модных трюков ;)

P.S. У RAD лучший из апплайансов L7, но его всеравно недостаточно, что мы наблюдали не далее как в это воскресенье ;)
И уж тем-более сомнительна история с «анализом чего-то там администратором» потому что люди — это явная точка отказа, имея по 10-100 инцидентов в день — администраторов не напасешься.
Cергей, что-же вы сразу не сказали что «Спецсвязь».
Тем-более заходите в гости! ;)
Правильно я вас понимаю, что латентность вырастет ненамного, если пускать свой трафик через вас?

Например, насколько может вырасти латентность доступа к сайту, расположенного у Хецнера (в Германии)

1) под атакой
2) без атаки

?
а накидайте плиз магистралов которые поддерживают BGP FlowSpec?
Если не это не бизнес секрет то можно в двух предложениях посоветовать куда копать для больше инфы по самой инфраструктуре для новичков открывающих дело в этой сфере
Добрый день! Не могли бы связаться со мной по ящику cto@setup.ru?
на заре интернета… в 2003 году

Эээ, а как же flood в IRC в 95м?
Знакомство с ними для меня лично началось во время проекта IT Territory в 2003 году
Sign up to leave a comment.