Arbor Pravail APS и DDOS

    Добрый всем!

    Не так давно мы проводили сравнение нескольких систем защиты от DDOS-атак, которые нам удалось «потрогать». Как и обещали — мы делимся своими впечатлениями от выбранного нами устройства.

           


    Здесь мы не будем рассказывать — что такое, откуда и зачем рождается DDOS-атака, мы уверены, что вы это уже знаете. Мы рассмотрим практику использования системы на частном примере (картинок будет много). Итак, встречайте Arbor Pravail APS!



    Краткая справка


    Arbor Networks была основана в 2000 году при Мичиганском университете, инновационные разработки которого финансировались министерством обороны США. С тех пор Arbor и специализируется на обнаружении и обработке сетевых угроз.


    “Он” приехал!


    От момента заказа до получения прошло около двух месяцев.


    Явно видавшая виды коробка, местами потертая, местами рваная, местами разрисованная ручкой или чем-то еще, но это-ли главное?! Скорее — открываем!


    Открыли, показалось знакомое шасси Intel 2U с красивой “мордашкой” и мы конечно полезли смотреть внутрь =)


    На проверку — ничего необычного, два процессора, память… особенность конструкции выдавала непривычная нашему глазу сетевая карта Silicom с большим радиатором, как на GPU, греется поди, чудо заморское =)


    Достаточно «баловства», пора в посмотреть его в деле!


    Подключили мы его к одному из наших тестовых роутеров и начали настраивать. Шаги стандартные — консоль, адрес на порту управления, установка acl и практически все. Главное — не забыть ключ с лицензией, фильтровать не будет =)

    В этом посте мы не будем вдаваться в особенности настроек режимов работы Pravail, они достаточно просты (группы, фильтры, параметры), если Хабравчанам будет интересно — сделаем отдельный пост по каждому пункту. Вкратце — у Pravail есть базовые настройки для автоматической защиты групп, которые основаны на нескольких типах защищаемых объектов (web, dns, mail, vpn, voip, file, rlogin). У каждого типа есть относительно подробная настройка с тремя уровнями защиты. Переключение между уровнями можно делать за один клик, в один момент времени все группы могут защищаться только на одном уровне.

    Пошли к делу!

    Pravail vs DDOS = начало


    DDOS-атаки, разные, к нам приходят постоянно. Интересно посмотреть на Pravail в деле, действительно-ли он так хорош, как о нем говорит производитель, ведь все производители говорят о своих продуктах только самое хорошее, разве нет? =)

    Для примера мы возьмем частный случай из обычной жизни обычного веб-сервера, который мы поставили на постоянную защиту «за» Pravail. На этом сервере мы практикуем защиту сайтов, которые атакуются всякими не очень хорошими роботами.

    Начало атаки


    День X и час Y совпали (ждать долго не пришлось). На наших линках мы зафиксировали аномалию, суммарно “лишнего” входящего трафика было примерно 3.5Gbit (~650kpps), в целом это не много по современным меркам, spamhaus знает, привет криво-настроенным dns серверам =\



    Через различные фильтры на до Pravail’a всего «дошло» порядка 130Mbit и 300k pps, что-же это за трафик? Чуть ниже мы разберем в деталях на картинках.

    Pravail: Начало


    Здесь мы рассмотрим реакцию системы на атаку, что видит Pravail и что можно или нужно делать. Информация будет отображаться в виде картинок интерфейса с некоторым описанием. Картинки достаточно понятные, будут вопросы — задавайте.

    Для того, чтобы вы могли лучше представлять предмет посмотрите, пожалуйста, на картинку:
    Dashboard Pravail APS

    Это первое, что мы видим попадая в интерфейс системы. Все четко и по делу.

    Вот, смотрите, смотрите, что я нашел!


    После входа в интерфейс Pravail мы попадаем в Dashboard. Здесь собрана вся важная информация по защищаемым группам и объектам. Откуда и куда идет большая часть трафика, какая нагрузка на интерфейсы и систему. При необходимости мы можем сделать несколько действий с группами и объектами (заблокировать, посмотреть пакеты или детальную информацию о трафике страны-источника). Все действия делаются в один клик, достаточно подвести курсор к интересующему нас объекту и выбрать действие.

    Самый первый и главный график — текущая ситуация с трафиком в группе. Аномалия на графике привлекает наше внимание. Мы можем посмотреть заблокированные хосты (причину, время, продолжительность) и сделать детальный разбор поступающих пакетов (packet capture).


    TOP-5 хостов источников и получателей трафика. Здесь мы видим откуда и куда идет трафик. Доступна блокировка хоста (blacklist) и анализ пакетов.

    TOP-5 стран источников трафика (вспоминаем географию). Есть возможность посмотреть детали по трафику из страны, и заблокировать ее для определенной группы.


    Состояние интерфейсов, наши 10Gb порты на вход и выход. Здесь мы можем сделать «packet capture» на каждом интерфейсе.


    Итоговая сводка по трафику. Здесь ничего сделать нельзя.


    Нагрузка на систему: смотрим, думаем. Можно построить предположения на будущее.


    Хорошо, нашел, а что дальше?


    Далее мы переносимся в защищаемую группу, в нашем случае — в этой группе перечислены ip адреса (можно указывать и сети) защищаемых объектов. Внутри мы увидим информативные графики с минимумом действий в отношении объектов (ip адреса, страны, ссылки, домены).

    Защищаемая группа «protos» (мы любим SC, но имя не связано =). Мы видим имя, описание, защищаемые адреса, тип защиты, ее длительность и возможность отредактировать все это дело. Можно выбрать период отображения данных.


    Сводка по защищаемой группе. Трафик в Mbps и pps, плохой и хороший в деталях.


    Источники плохого трафика. Если необходимо — можно посмотреть в деталях на «blocked hosts» (заблокированные ip адреса) каждой категории. «Detail» открывает нам подробности, у каждой категории свои данные.


    TOP-запросов к сайтов в минуту. По адресам. Больше запросов — выше в топе. Можно закрывать явно «невалидные» запросы. «Blacklist» срабатывает раньше.


    TOP-запросов к доменам в минуту. Работает по аналогии с TOP-url's.


    «Лучшие» страны. Определяется по ip адресу. Можно сделать «packet capture» по нужной стране. Мой самый любимый раздел. Кто догадывается почему? =)


    TOP-протоколов по типам, информативный график.


    TOP-сервисов. Тоже можно делать «packet capture».


    TOP-ip адресов. Можно смотреть причину блокировки или разбирать пакеты. Если трафик с этого адреса идет в настоящее время. И, конечно, «whitelist», если нужные адреса оказались заблокированы.


    В целом — это все, что дает нам Pravail по мониторингу состояния защищаемой группы.

    А что в итоге?


    А в итоге мы имеем отличное устройство корпоративного класса по защите от атак на приложения, которое практически работает в автоматическом режиме. Конечно, сложные атаки будут требовать ручной настройки параметров защиты.
    Данное устройство можно смело размещать у себя на границе корпоративной сети и\или превентивно защищать важные системы. Практика показывает, что при некоторой адаптации системы под специфику защищаемого объекта — можно добиться уверенно положительного результата. Защищаемый объект под атакой будет работать и вполне прилично.
    Могут-ли его использовать интернет-провайдеры? Могут, но для защиты отдельных узлов.

    Почему мы решили выбрать Pravail? Потому, что из всех систем, которые мы видели — именно он оставил самые приятные впечатления от работы.
    И теперь — у нас есть чем защитить себя и наших пользователей!
    Timeweb
    31.37
    VDS, виртуальный хостинг, домены, серверы
    Share post

    Comments 28

      0
      Картинки это хорошо.
      Два вопроса:
      — сколько будет стоить услуга конечному пользователю и на какие планы распространяется (будет распространятся) защита?
      — можно увидеть конкретные данные по отдельно взятой атаке? Чем ддосили, за сколько справились (отработали фильтры) итд.
        0
        Сейчас мы не планируем предоставлять защиту для конкретных пользователей. Мы защищаем серверы в том случае, когда речь идет о возможных проблемах у всех пользователей сервера.
          0
          Из ваших слов следует что вы либо мониторите ВЕСЬ трафик и защищаете ВСЕХ, либо приходите на помощь когда уже все плохо и некоторые сервера (сервисы) уже недоступны.
          А еще вы не ответили про количественные и качественные показатели атак которые вы отразили уже.
            0
            Мы не фильтруем по-умолчанию трафик для серверов виртуального хостинга. Как показывает практика, это вызывает лишние проблемы у пользователей. Мы включаем систему в случае, когда есть серьезная проблема, которая влияет на всех пользователей сервера.

            Мы не ведем статистику по отработанным атакам.
        +2
        Пользую timeweb, на мой сайт была ДДОС-аткак, пока в htacess не заблочил IP с которого ддосили, сайт генерил высокую нагрузку на сервер. timeweb сразу начал ругаться. Лично я сначала не знал, отчего сайт грузит сервер. В службе поддержки говорили, мол, разбирайся сам или переходи на дорогой тариф. Пришлось разобраться.

        Возможно, это и правильно. Но те, кто используют вирт-хостинг, ИМХО, мало в админских делах и защите от ДДОС-атак разбираются.

        PS: К слову, сайт-таки отрубили за превышение нагрузки (предупреждали, что отрубят, да — сам виноват). Перевел на другой тариф, но вот уже в течении часа включить не могут. (Оператор ответит на тикет в течении 6 часов).
          0
          ура! заработало! (с)
            0
            Проблема защиты пользовательских сайтов заключается в их количестве. Насколько мне известно — ни один хостинг-провайдер не защищает превентивно конкретные сайты. Сервера и системы — да, но не сайты. Но и здесь необходимо учитывать, что фильтры, которые хороши для защиты одного или нескольких сайтов — могут иметь ровно аналогичные негативные последствия для работы других.
              0
              Превентивно это одно, но тут человек пишит если сервак уже нагружают, да тем более с одного ip, посмотреть логи, sockstat и написать ipfw add deny all from хххх to me это 30секунд делов.

              Сто раз так делал =)
                0
                Подобные действия справедливы, когда на сервере размещается только один сайт (клиент). Когда на сервере размещается множество сайтов блокировка ip может привести к тому, что пострадают остальные сайты на сервере и пользователи, которые находятся за этим адресом.

                Как я уже сказал — все наши действия должны учитывать множество факторов.
                  0
                  Ага, то вдруг боты решат сходить в инет мазаг за подарками на этом же шареде, Да и с файловом я конечно погорячился но .htacсess + информирующий тикет клиенту никто не отменял)

                  Ладно как говориться в чужой монастырь со своим уставом не лезут.
            0
            Сколько стоит такая штука?

            По опыту, Zywall на 100к сессий примерно такого же фактора 2U — 200к рублей. Плюс подписки годовые…
              0
              Zywall немного не того уровня железка.
              Да и 100к сессий это не о чем в принципе.
              Цена отличается примерно на порядок.
                0
                Стоимость зависит от лицензии на фильтрацию (от 1 до 10Gbit). Но цена в любом случае больше 100 тысяч евро.
                0
                А куда делись остальные 3.35 Гигабита?
                  0
                  Это был udp трафик, он «остался» на фильтрах выше.
                    +1
                    Тогда есть два вопроса:
                    1. Зачем нужен Arbor, если есть «фильтры выше»?
                    2. Если ддосили udp трафиком, то почему вырос SYN Flood трафик, который связан с TCP только?
                      0
                      1. Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pravail отлично работает с атаками на приложения.
                      2. Атака была не только udp.
                        0
                        ваша классификация атак — убога. чуть более чем полностью.

                        Предлагаю вам новую, более лучшую версию:
                        0. на полосу пропускания. (dns amp)
                        1. на сетевую инфраструктуру (route cache fanout)
                        2. на tcp стэк (sockstress, synflood)
                        3. на приложение

                        Простите великодушно, но ваш уровень экспертизы меня огорчает беспредельно.
                          0
                          Александр, основное назначение данной статьи — информация. Она отражает наше мнение о возможностях конкретного устройства. Мы посчитали, что показывать «пустые» графики будет не интересно.
                          Если вдруг мы решим разобрать на составляющие конкретную ддос атаку — да, там будет больше технической информации.

                          А на данном этапе — я предлагаю вам немного успокоиться.
                  +2
                  Продолжительность атаки примерно 30 минут, с 16:20 до 16:50. Не расскажите почему у вас в этот период времени вырос passed трафик, а также упало кол-во запросов по сравнению с моментом до и после атаки? Также было бы интересно услышать ваше мнение о причинах появления ICMP трафика.
                    0
                    А Вы, товарищь, умеете читать графики. Дьявол — он, как известно, в деталях…
                      0
                      Passed вырос потому, что настройки на Pravail были не оптимальны и он пропустил часть атаки. Запросы провалились из-за фильтра, возможно была заблокирована страна. ICMP мы не закрываем по политическим причинам.
                        0
                        т.е., переводя на русский, вы пропускали атаку и при этом блокировали нормальный трафик и в таких количествах что это читается даже на скриншотах?

                        А вы исследовали какие именно контр-меры использует Pravail для «отличной работы» с атаками на приложение? Можете их перечислить?
                      0
                      а если у вас >100gbps ?) для небольших хостеров может и покатит, но и то, довольно сомнительно
                        0
                        Вы имеете ввиду 100gbps атаки? В этом случае работают совсем другие принципы =)
                        0
                        Какие у вас впечатления после полугода эксплуатации? И как, помог ли вам Arbor например в случае с twitter.com/TIMEWEB/status/359204162128465920/photo/1?
                          0
                          Петр, добрый.

                          Ожидания оправдались в достаточной мере. Арбор хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.
                            0
                            Т.е. ваша система классификации получила полноценное развитие и Вы вывели третий класс атак?
                            Подумайте над публикацией whitepaper на ACM. Поистине новаторская разработка!

                            10 апреля 2013 в 22:16 (комментарий был изменён)# ↵↑
                            1. Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pravail отлично работает с атаками на приложения.
                            2. Атака была не только udp.

                        Only users with full accounts can post comments. Log in, please.