Особенности отражения DDoS атак и история атаки на один крупный банк



    Раньше DDoS-атаки могли успешно отбиваться на стороне ЦОДа атакуемой компании. Быстрые умные действия админа и хорошее фильтрующее железо гарантировали достаточную защиту от атак. Сегодня услуги ботнетов стремительно дешевеют, и DDoS становится доступен чуть ли не в малом бизнесе.

    Около половины атак идут на интернет-магазины или коммерческие сайты компаний в духе «завалить конкурента», почти всегда атакуют сайты СМИ, особенно после «горячих» публикаций, намного чаще, чем кажется, бьют по госсервисам. В России главные цели – банки, розница, СМИ и тендерные площадки. Один из крупных российских банков, например, периодически блокирует трафик из Китая – атаки оттуда приходят с завидной регулярностью, одна из последних была больше 100 Гб/с.

    Соответственно, когда атака переваливает, скажем, за 10 Гб/с, отражать её на своей стороне становится проблематично из-за банального забивания канала. Именно в этот момент нужно делать переключение на центр очистки данных, чтобы весь «плохой» трафик отсеивался ещё где-то около магистральных каналов, а не шёл к вам. Сейчас расскажу, как это работает у одного из наших вендоров защитных средств – Arbor, мониторящего около 90 Тбит/сек (45% мирового трафика Интернета).

    Сценарий атаки


    Сначала злоумышленник выбирает цели внутри инфраструктуры. Большая часть «глупых» атак идёт на HTTP, очень много атак на DNS, но основные «умные» атаки обычно направлены на заранее разведанные узлы внутри инфраструктуры цели. Нередко DDoS ставит целью не только и не столько отказ сервисов, сколько возможность пронести «под общий шум» через DMZ более серьёзную угрозу. Это нередко достигается с помощью «перегрузки» систем периметровой защиты, таких как межсетевые экраны, IPS/IDS и им подобных, основанных на отслеживании сессий (stateful inspection). Поэтому коллеги считают, что если у устройства есть таблица состояний (session table) – его следует рассматривать как часть инфраструктуры, нуждающейся в защите.

    Основные точки атак:


    Схема отражения атаки реализуется следующим образом:
    1. На стороне защищаемой компании стоит устройство, «закрывающее» сеть. Как только начинается атака, устройство должно опознать её как аномалию, используя одну из механик, например, встроенные противомеры, ненормальное поведение источника трафика либо соответствие известному профилю атаки (сигнатуре из базы).
    2. Если устройство справляется с атакой, работа продолжается в относительно штатном режиме: легитимный трафик пропускается, нелегитимный – режется. Есть несколько «уровней тревоги», отличающихся степенью сложности атаки и возможными потерями легитимного трафика.
    3. Если канал связи начинает забиваться, то выполняется автоматическое перенаправление трафика с помощью штатного протокола Cloud Signalling. Сначала всё приходит на площадку крупного провайдера (это может быть Ростелеком, Orange, Транстелеком, Акадо), где данные чистятся оборудованием Peakflow SP. Уже очищенный трафик идёт на конечного клиента. При этом клиент обладает пониманием всего происходящего – может оперативно зайти в личный кабинет оператора связи и посмотреть текущий статус очистки, какие работают противомеры, какова эффективность подавления атак и так далее. Клиентское устройство также показывает эффективность происходящей в данный момент очистки и список заблокированных хостов. С обоих устройств при желании можно легко снять дамп трафика в формате pcap для последующего «разбора полетов».




    Реальность, о которой не принято говорить


    1. Потери легитимного трафика.
    Борьба с DDOS атакой — это отбрасывание нелегитимных пакетов и пропуск легитимного трафика, между которыми порой проходит очень тонкая грань. Многие вендоры в своих проспектах любят писать, что эти потери близки к нулю. В моей практике они вполне могут доходить до 2% — это значит, что теоретически тот же директор, уехавший в командировку, не сможет попасть в корпоративную сеть из отеля или с конференции. Здесь очень важно, чтобы система поддерживала возможность разрешить конкретные соединения или протоколы «на лету». У ряда вендоров с момента начала атаки настройки, фактически, чуть ли хардкодятся в прошивку железа, и менять их крайне проблематично. У Арбора с этим всё обстоит совершенно иначе. Во-первых, для управления уровнем false-positive есть три «режима тревоги» — от «руби всё, что точно не наше» до «есть возможность покопаться детальнее». Во-вторых, есть удобный поиск по заблокированным хостам и возможность отменить блокировку трафика для конкретного хоста, протокола или страны в один клик. Отметим, что реальность наличия false positive при борьбе с DDoS признают все заметные игроки рынка. Александр Лямин (Qrator) однажды отметил: «любой, кто скажет, что false positive у него ноль, — шарлатан».

    2. Возможность использования забитого канала связи для сигнализации об атаке.
    Как же клиент запросит провайдера об атаке, если канал между ними забит из-за DDoS? Строго говоря, даже при близкой к 100% утилизации канала связи в направлении от провайдера к клиенту есть очень большой шанс, что запрос на очистку данных дойдет до провайдера. Для этого Cloud Signaling работает поверх UDP, а кроме того, протокол не требует получения ответа от провайдера. Таким образом, достаточно иметь хотя бы немного ёмкости в направлении от клиента к оператору. Для перестраховки рекомендуется организовать отдельный канал для обмена сообщениями Cloud Signaling. Тем не менее, обычно создаётся резервный канал, плюс тревога идёт при пороге около 70-80% канала.

    3. Время переключения на центр очистки данных.
    Задержка перенаправления трафика на центр очистки провайдера услуг защиты от DDoS атак может занять единицы и даже десятки минут. В основном, это связано с механизмом перенаправления — на основе записей DNS или анонсов BGP, а также с тем фактом, осуществляется ли принятие решения о перенаправлении в ручном или автоматическом режиме. В любом случае, если подавление атаки осуществляется в «облаке», то избежать задержки не удастся. Как минимум, она составляет несколько минут. Поэтому мы придерживаемся концепции многоуровневой защиты, когда большие атаки на каналы связи подавляются оператором, а медленные, малозаметные атаки уровня приложений – оборудованием, установленным у заказчика.

    4. Использование SSL-сертификатов.
    Анализировать трафик SSL/TLS на предмет атак уровня приложений достаточно проблематично — нужно расшифровывать каждый пакет. Здесь вы оказываетесь перед непростой дилеммой: или делиться своими сертификатами с провайдером услуг, или принимать риск того, что атака на уровне HTTPS может быть пропущена. Вендоры пробуют находить решения без вскрытия пакетов (что получается не всегда хорошо), либо используют специальный модуль дешифрации SSL/TLS трафика, встроенный в клиентское устройство:



    В этом случае ваши сертификаты загружаются в устройство, находящееся под вашим же контролем, а задержки на дополнительную обработку пакетов составляют миллисекунды.

    5. Ручное формирование сигнатур.
    Большинство сигнатур формируется производителями решений по защите от DDoS-атак. Однако периодически возникают ситуации, когда ресурсы подвергаются новым типам атак.

    В зависимости от вендора есть два возможных сценария действий в такой ситуации: либо запросить у производителя новую сигнатуру, либо создать сигнатуру самим. В первом случае, вам скорее всего придется доплатить за услугу, а также значительное время оставаться под атакой ожидая решения проблемы.

    Во втором случае работает принцип «спасение утопающих – дело рук самих утопающих», ну или их партнёров. Здесь критически важным становится функционал оборудования, позволяющий быстро определить, перехватить и проанализировать зловредный трафик. А возможность автоматически сформировать сигнатуру на основе полученной информации становится спасением в критической ситуации. К примеру, возможность зайти в захват пакетов, выделить нужную битовую последовательность (bit pattern), и в пару кликов сделать сигнатуру, блокирующую такую последовательность.

    Преимущество масштаба


    У Arbor есть очень интересная «фишка», которая позволяет им очень эффективно использовать свою рыночную долю. Дело в том, что их оборудование стоит у всех TIER-I операторов связи и провайдеров и у большинства TIER-II операторов.


    Позиция Arbor на рынке оборудования защиты от DDoS в сегментах Carrier, Enterprise, Mobile – 65% всего рынка — первая (Infonetics Research за декабрь 2013).

    Через систему ATLAS проходит информация около 90 Тб/с. Как только где-то появляются признаки атаки, устройства начинают передавать по собственной сети связи данные о происходящем, и информация быстро распространяется по всему миру. К примеру, если «валят» мелкого провайдера, его железо сигналит по специальному протоколу уровнем выше. Если вышестоящий оператор имеет договоренность с нижестоящим, то сигнатура принимается и распространяется на все подсети крупного провайдера.


    Сенсоры (honeypots) системы ATLAS расположены на основных узлах глобальной сети Интернет для обнаружения и классификации атак, активности бот сетей и различного зловредного софта. Информация отправляется в ЦОД ATLAS, где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными. Система анализирует в автоматическом режиме сотни тысяч элементов кода, и позволяет команде инженеров оперативно обновлять сигнатуры для клиентов компании по всеми миру.

    Особенности подключения


    Стоит сказать ещё пару слов про железо, которое ставится непосредственно к вам в ЦОД или на площадку. С ним тоже связано много реалий, о которых не всегда говорят.

    1. Настройка и конфигурирование.
    Как правило, устройству нужно время на профилирование трафика и оценку поведения сети. Но некоторые устройства поставляются в «боевом» режиме для работы с первой секунды после подключения – там уже есть готовые шаблоны, плюс устройство получает данные из «облака» своего вендора. С одной стороны, это хорошо в плане отражения идущей атаки, с другой – если вы привыкли тонко настраивать всё в своей инфраструктуре, здесь придётся частично положиться на опыт вендора.

    2. Само защитное железо может стать точкой отказа.
    Поэтому, во-первых, на серьёзных объектах оно дублируется или несколько устройств собираются в кластер (соответственно, нужны управляющие устройства). А во-вторых, такие устройства имеют аппаратные байпассы, позволяющие переключить интерфейсы на физическом уровне трафик напрямую в случае различных аварийных ситуаций – отключения питания, отказа программного обеспечения и так далее…

    3.Защитное железо может стать и целью атаки.
    Особенно, если оно является устройством с таблицей состояний (session table), например объединяет функционал защиты от DDOS, IPS, межсетевой экран, и т.д.). Каждый раз, когда на таких устройствах открывается новая сессия, устройство выделяет память для отслеживания сессии, заполняет лог и так далее – и чем умнее устройство, тем больше работы происходит. Много сессий – большая утилизация CPU и памяти. Поэтому, выбирая решение, стоит уделить внимание и этому аспекту.

    4. Обычно в сети довольно много мусорного трафика, а в случае крупных организаций – ещё и регулярно бывают пики активности, которые могут сойти за «глупый» DDoS.
    Понятно, что всё отпрофилируется по географии, по времени использования сервисов и так далее, но на первом этапе важно получить понимание, что включение устройства в сеть не убьёт сервисы. Для этого используется зеркальный режим подключения: устройство ставится в сеть на байпасе и получает зеркальный трафик, показывая, что бы оно отклонило, а что бы пропустило. Это позволяет делать оценку до возникновения проблем. Я знаю заказчиков, где DDoS-защита стоит именно в таком режиме достаточно долго. Арбор считает, что построение baseline – это только один из методов борьбы с DDoS, но гораздо лучше использование специализированных противомер. То же самое коллеги говорят и о сигнатурах – насколько велика не была бы сеть сенсоров и сколько бы трафика в ней не анализировалось, полагаться только на сигнатуры нельзя. Сложные угрозы требуют сочетания разных механизмов защиты.

    5. На уровне обмена трафиком между провайдерами иногда случается достаточно неприятная ситуация, когда подсеть передаёт сигнатуру атаки, а вышестоящий провайдер говорит: «Дааа, интересно, но мы у себя чистить не будем».
    Принцип очень простой – пока канал справляется, весь DDoS-трафик билингуется. Не всегда вышестоящему провайдеру интересно тратиться и чистить его, когда можно просто отгрузить ниже, да ещё и за деньги потерпевшего. Такие ситуации неприятны для сервис провайдеров, однако никак не сказываются на пользователях услуг защиты от DDoS, поскольку операторы выполняют свои обязательства в полном объеме.

    Отчёты


    Одна из важных вещей – быстрое понимание того, что происходит. Давайте посмотрим на отчёты на примере двух атак на крупный российский банк. Почувствуйте, как у админов добавилось седых волос в комиксе ниже.

    Атака ёмкостью порядка 50 Гбит/сек


    Эта атака началась с DNS-amplification. Трафик, зафиксированный на Arbor Peakflow TMS сервис провайдера: до 7.15 Гбит/с., 1.1 Мпакетов/с. С учетом фильтрации большей части атаки на FlowSpec суммарный трафик атаки оценен в 50 Гбит/с. Атака была продолжена HTTP-флудом.



    Зафиксировав аномальный рост трафика, клиентское устройство автоматически запросило помощь от сервис провайдера в подавлении атаки.



    Система защиты установленная у оператора, передавала информацию о ходе подавления атаки на Pravail APS в режиме реального времени.



    Когда DNS-amplification атака сошла на нет, появилось большое количество HTTP-флуда.



    Кроме HTTP-флуда также присутствовал и TCP SYN флуд.

    В результате, большая часть DNS-amplification атаки была успешно подавлена с помощью Flowspec, остальная ее часть была подавлена средствами системы защиты, а HTTP и TCP SYN флуд был сброшен на Pravail APS.

    Атака ёмкостью порядка 125 Гбит/сек





    Несколько минут в начале — HTTP-флуд. Виден всплеск числа иностранных хостов (красный график). Около 1000 хостов на домен «Крупного Российского Банка». Основные страны: США (672), Германия (141), Великобритания (82), Италия (30), Нидерланды (24), Франция (14).



    Следующий сюрприз — NTP-amplification — до 125 Гбит/с.



    После неудавшегося NTP amplification — SYN-флуд с подменными IP – до 300 Мбит/с

    Резюме


    Атаки идут постоянно, и если вы ещё с этим не сталкивались – это всего лишь вопрос времени. Для иллюстрации, вот несколько событий в РФ:

    Если у вас есть вопросы — с удовольствием отвечу здесь или на почте avrublevsky@croc.ru. Наше подразделение может предложить и различные решения, если вам потребуется иной вендор.

    А ещё завтра, 21 октября, мы проводим вебинар на тему защиты от DDoS. Приходите, расскажем, что у нас в России сейчас происходит на этом фронте.
    КРОК
    266.30
    №1 по ИТ-услугам в России
    Share post

    Comments 46

      –1
      Ностальгия.
      image
        +11
        Дата рождения:
        14 октября 1997

        Ох и рано вам ностальгировать-то…
          +9
          Уже 1995-ый, постареть на 2 года за пару минут…
            –1
            Не представляю, почему в профиле оказался '97, я на два года старше.
            С D7 я начал играться десять лет назад, закончил восемь-семь лет назад, так что да, ностальгия.
            0
            А что это за программа? Никогда не видел :)
          0
          мимо
            +1
            А запись после вебинара будет опубликована?
              0
              Да, запись появится буквально через пару дней на странице вебинара на сайте.
              +2
              Отличная статья! От себя добавлю лишь то, что стоимость решения по защиту от атак в 1Гигабит (смешной объем, правда?) стоит сильно за 1 миллион рублей за устройство (Arbor Pravail).

              Если правда компания хочет защиты, рекомендую обращаться к специализированным компаниям, которые оказывают именно услугу (до 500 гигабит? Легко!), это выйдет в сотни раз дешевле, чем затариваться гробами от Arbor на случай атаки, которо, й в общем, может и не быть.
                0
                «Специализированные компании» в случае атаки заворачивают трафик через себя. И это место может легко оказаться за пределами РФ, что в некоторых случаях может быть неприемлемо (госструктуры).
                  +2
                  Есть в наличии достаточное число соответствующих компаний в России, без выхода за пределы РФ — я лично пользуюсь услугами по меньшей мере 2х.

                  Кроме этого, пользоваться Американским Атласом и Американским Арбором — это для гос компаний приемлемо? Учитывая, что 99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.

                  Да и вообще — если если у «Гос Компаний» какие-то проблемы с тем, что Интернет — сеть неожиданно глобальная, я могу предложить им отключиться от нее, раз их это так коробит.

                    0
                    «99% эффективности этих устройств в базе сигнатур, которая, неожиданно, скачивается из Америки чуть ли не ежечасно.» — это преувеличение. Сигнатуры – важная, но не единственная составляющая борьбы с DDoS-атаками. Очень много атак отбивается без сигнатур, с применением стандартных противомер. Недаром в статье упоминается, что «то же самое коллеги говорят и о сигнатурах – насколько велика не была бы сеть сенсоров и сколько бы трафика в ней не анализировалось, полагаться только на сигнатуры нельзя».
                    Да, ATLAS создан и поддерживается американской компанией, однако содержит информацию о тенденциях и событиях в глобальной сети и фактически является уникальной базой данных и знаний. Использовать ли эти знания, каждый решает сам. Кроме того, начиная с версии ПО Pravail 5.6 автоматическое скачивание может быть отключено. Сигнатуры ATLAS могут быть загружены и установлены администратором системы вручную.
                      +1
                      Тут речь шла про то, что в случае санкций это ровно также превратится в тыкву, а не про то, что плохо, что сигнатуры скачиваются :) А без сигнатур Arbor — это умный фаерволл к которому обязательно нужен оператор, не более.
                        0
                        Ошибаетесь. В тыкву никто не превратится, потому как арбор (как в прочем и остальные, например периметр от мфи софт) это прежде всего инструмент. И это инструмент умеет определенные контрмеры, эффективные при определенных атаках. Опять таки не нужно воспринимать ни арбор, ни железо других вендоров в качестве серебряной пули.
                          0
                          Ну, МФИ софт делается у нас и очень-очень-очень напоминает ранние Арборы :)))) Так что по нему точное никаких сомнений.

                          Конечно же, не стоит, ибо это задача комплексная и когда ее предлагают решить «вот железо за миллион и все будет зашибись», требуется так или иначе указать — что это далековато от истины.
                  0
                  Сравнивать оборудование с сервисом не стоит. Одно другое не исключает, а дополняет. Именно поэтому в статье говорится о многоуровневой защите.
                  Локальное оборудование ставят когда хотят:
                  а) минимизировать простои и время задержки на активацию/переключение услуги;
                  б) работы с SSL без отдачи приватных ключей сторонней организации;
                  в) полного контроля над ходом очистки от атак до ширины канала без необходимости привлечения сторонней организации.
                    0
                    а) Решается CDN, почти все «услуги» есть на MSK-IX/Data-IX/SPB-IX, что сводит латенси до минимума
                    б) Это решено по меньшей мере месяц назад спецами из CloudFlare и опубликовано в публичный доступ: www.cloudflare.com/keyless-ssl
                    в) Возможно, аргумент, но все равно слабовато
                      0
                      а) Услугу получать от IX? Простите, а если трафик полетит не с IX? Неужели вы довольствуетесь только IX связностью?
                      б) В данном случае cloudflare все равно видит не шифрованный трафик, хоть и не имеет сертификата. В некоторых случаях это недопустимо.
                        0
                        а) Речь про то, что ддос фильтраторы есть на IX и с ними очень легко получить прямую связанность, что решит проблемы с латенси. Никто же не говорит про фильтрацию на самом иксе.
                        б) А что мешает сделать шифрованный туннель до оператора DDoS защиты? Есть операторы, которые проводят HTTPS по GRE от клиента и выставляют его от своего имени и фильтруют не расшифровывая вообще, такой вариант вполне подходит и для тех, кому ну очень не хочется что-либо светить. Да, придется поменять DNS или отдать роутинг своих сетей, но данные вполне можно сокрыть ото всех кроме реального их получателя.
                          0
                          а) а вы могли бы привести примеры antiddos сервиса от IX? Представляете себе как ее вообще можно организовать сервис на IX'е? Начните с простого, как выявлять флуд… Буду признателен за примеры. Либо вы предлагаете клиенту подключиться к IX и получив дешевую полосу самому фильтровать трафик, ну например тем же flowspec? А каким может оказаться реальное распределение amplification атак получаемых, например, через тот же MSK-IX? Вы уверены, что в отсутствии полной связности получаемой через IX вам прилетит именно оттуда, а не через upstream. Казалось бы купили полосу 100G на IX, а почему-то летит все в гигабитный линг вышестоящего провайдера.

                          б) предложите банкам или другим финансовым организациям в России использовать keyless-ssl, а потом расскажите нам, что услышите в ответ. А ведь как не странно они основные заказчики на защиту HTTPS.
                            0
                            а) Я такое не видел никогда, IX — это гора свичей, не более. Я уже упоминал IX как возможность доставки трафика по пути бэкэнд (защищаемый сервис) компании и фронтэнд компании по DDoS защите, IX — это просто способ быстрой коммутации точки А с точкой B, не более. Защита в IX — это отдельная и очень больная тема, там и без атак часто ад творится.

                            б) Мы говорим о технических аспектах, а это уже организационный. Если мы уйдем в крайности, то дойдем до установки управления ядерными ракетами, но рынок защиты от DDoS не кончается на финансовых компаниях, он намного крупнее и рассматривать отдельных игроков и тем более ровняться на них (упасите!) не стоит.
                    0
                    Если правда компания хочет защиты, рекомендую обращаться к специализированным компаниям, которые оказывают именно услугу (до 500 гигабит? Легко!)

                    Таки легко? Назовите отечественные специализированные компании, которые это могут сделать легко?
                      0
                      Если я их назову здесь, это будет рекламой, я с ними никак не аффелирован, но если Вы полистаете мои комментарии в профиле, в других темах (где это не было офтопом) я их упоминал.
                        0
                        Можно не называть, они всем известны. К некоторым отношусь с глубоким уважением.
                        Но если интересно, то откройте, например, bgp.he.net и посмотрите на граф связности их AS. Затем посмотрите на то, кто для них является апстримом и подумайте, что будет если один из них поймает даже 300Гбит/с. Для того, чтобы было проще рассуждать накину пару вопросов куда смотреть:
                        1. Сколько у AS апстримов (на удивление некоторые имеют одного, а значит апстриму придется есть в одиночку)?
                        2. Насколько широкий апстрим?
                        3. Что сделает апстрим, если флуд начнет аффектить на других не менее важных клиентов, трафик которых начнет дропаться в силу отсутствия полосы по каким-то направлениям?
                        4. А ловил ли кто-нибудь из них реально даже 200Gbps, чтобы вот так легко заявлять о своих способностях? Маршрутизация она такая, что даже наличие 500Gbps свободной полосы не означает равномерного распределения флуда по всем каналам.
                          0
                          Я могу отвечать предметно лишь зная про кого речь, с кем мы работаем активно — по меньшей мере имеют фронты на 4 аплинках, но эта информация у меня не из bgp.he.net (впрочем, там их тоже 4 штуки, только что посмотрел, весьма крупные — RETN, TT, Zayo), а просто из IP бэкэндов, на которые мне приходят коннекты.

                          Вы все правильно абсолютно говорите, да, есть риск, да, есть опасность. Но при всех этих недостатках эти решения-услуги на голову выше попытки самопально (пусть даже на Арборах) отбиться от атаки, согласитесь?
                      0
                      10 Гбит/с отфильтровать — это задача не на миллион, а на пару тысяч. Арбор — это когда 100+ Гбит/с и сложная инфраструктура
                      0
                      Во сколько может клиенту обойтись защита от флуда 50 Гбит/сек? Существует ли on-demand сервис или это только решается покупкой оборудования?
                        +1
                        Я не автор, но могу ответить :) On Demand варианта не существует (ведь Arbor живет именно продажей железа и облачных сигнатур). Защититься от флуда в 50 гигабит можно двумя способами:
                        • Купить 50 гигабит каналов у аплинка и воткнуть Peakflow/Pravail. Но если атака неожиданно упрется в емкость каналов — упасть и долго не подниматься
                        • Не покупать 50 гигабит каналов, но иметь аплинка/провайдера, у которого стоит Arbor Perakflow (из адекватных могу предложить лишь Telia Sonera, из не особо адекватных — Ростелеком). Но тут стоит отдавать себе отчет в том, что — провайдер может захотеть бесконечных денег за то, что даст доступ к этой услуге фильтрации, а может и вообще отказаться ее давать. Но в данном случае так или иначе нужен будет дивайс от Arbor по крайне мере для защиты от Application атак


                          –1
                          День добрый!
                          из не особо адекватных — Ростелеком

                          Можно узнать в чем заключается неадекват относительно предоставляемой услуги защиты от DDoS? У вас реальный практический опыт использования услуги или просто слышали?
                          провайдер может захотеть бесконечных денег

                          тарифы фиксированы как у Телии, так и у Ростелека.
                            +1
                            По DDoS? Нет, это мое общее впечатление от этой «компании». Я с ними почти 2 года бадался как юр лицо, чтобы они, в конце-концов, нам интернет в офисе починили, чтобы он не падал по 7 раз на сутки. В итоге дойдя до руководителя С-З филиала нам так и не починили интернет :) Итог просто — мы закрыли договор и перешли к другим компаниям.
                              0
                              Ну не надо же все под одну гребенку. Услуга у них вполне адекватно предоставляется.
                                0
                                Ну я же не гребу под общую гребенку все компании осуществляющие защиту от DDoS, а лишь наотрез не буду работать с Ростелекомом :)
                                  0
                                  Ваше право
                              0
                              Тарифы на что? На защиту?
                                0
                                Да, именно на защиту.
                                  0
                                  Круто, а порядок их каков?
                                    0
                                    Простите, а разве мы говорили о порядке цен? Я лишь прокомментировал
                                    провайдер может захотеть бесконечных денег

                                      0
                                      Почему же? Мы говорим именно о порядке.

                                      Я не говорил, что бесконечная цена означает не фиксированную цену, а говорил о том, что это может встать настолько дорого, что потеряет любой смысл.

                                      Согласитесь, для небольшой компании миллион в месяц — цена бесконечная, а для госконторы и миллиардом можно разменяться.
                                        0
                                        Согласитесь, для небольшой компании миллион в месяц — цена бесконечная

                                        Соглашусь. Для всего есть свой покупатель. Порой часовой простой может стоить на порядок больше годового контракта.
                                          0
                                          Как показывает практика, лежка от безалаберности и халатности намного дольше (хотя именно это часто сводят на «на нас атака, что вы от нас хотите!»), чем от DDoS, я искренне считаю тему DDoS перегретой настолько, что его боятся все, кто с атаками не столкнется никогда в жизни, но ему навязали идею, что он в опасности и ему нужно защищаться. Это тоже не особо хорошо.
                            0
                            по рынку сейчас — 10-20 тысяч в месяц, если on-demand
                              0
                              А какая схема тарификации? По чистому трафику? По максимальной мощности атаки? По сайтам? По числу префиксов?
                                0
                                по числу сайтов и трафику
                                  0
                                  Ну, вполне по божески :)
                            0
                            Для малых компаний DDoS это излишество.
                            Достаточно пары тысяч ложных заказов/заявок, да еще если и АТС положить то пару дней парализации деятельности предприятия вполне стоят запрошенной дани.

                            Only users with full accounts can post comments. Log in, please.