Pull to refresh
2
Karma
0
Rating

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Абсолютно верно — именно так всё и работает, но нигде не написано что ставится боевой сертификат. Фишка заключается как раз во втором, не боевом сертификате — его компрометация ничего не даст, а железки, куда ставится этот сертификат, еще и под контролем клиента.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

DefensePro не участвует в распознавании атаки внутри SSL, поскольку, как правильно было замечено, не умеет этого делать без раскрытия ключа.
Для этого используются дополнительные методы анализа, которые не требуют передачи нам клиентского ключа шифрования, в связи с чем нет рисков его компрометации.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Да, мы волшебники, и нашли способ это делать. Рассказать, увы, не можем. Но то, что проверка делается — факт. Догоняйте.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Архитектура центра очистки позволяет распределить трафик.
Один DP x420 потребляет 650 Вт. 13650 Вт на стойку – это нормально.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Ещё раз отметим, какой-то целенаправленной атаки на ресурсы не было. Было большое количество «мусора», которое нагружало IPS на FW

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Отражение атак и на клиентском оборудовании, и в центре очистки происходит в автоматическом режиме. Но за любой автоматизацией всегда должны стоять реальные люди.
В исключительных ситуациях их необходимо подключать. Например, если оборудование не прошло период обучения до конца, либо подключение идет под атакой.
Даже в таких ситуациях железо, конечно, проведет очистку, но более тонкую фильтрацию в соответствии с профилем трафика конкретного клиента можно сделать только вручную.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Да, на 7 уровне сертификаты также не раскрываем.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Сервис был запущен в конце прошлого года.

Всё верно – атаки свыше 80 Гбит/с фильтруются, но с возможными потерями легитимного трафика.

Один DefensePro максимально несет на борту один 40g-сегмент и 4 сегмента по 10G, а в стандартную 42-юнитовую стойку можно установить 21 модуль. Дальше, извините, по соображениям безопасности не могу детализировать.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Что касается SSL, то мы его тоже умеем без раскрытия сертификатов, также мы умеем внутри SSL отражать атаки на уровне приложения.
PacketRate — сейчас гарантированно держим 50 мегапакетов, предусмотрено расширение до 100. Но это все сугубо технические характеристики. Самое главное то, что мы под атакой не теряем легитимный трафик (подтверждено как независимыми тестами, тот же NSS Labs, так и тестами, которые проводили наши клиенты)

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

В отличие от простой продажи оборудования мы предлагаем защиту от мощных DDoS атак как сервис. Редкая компания станет сама себе покупать оборудование, способное защитить от атак в 80 Гбит/с, и нанимать штат специалистов, умеющих с этим оборудованием работать – это слишком дорого. У нас есть поддержка 24*7, которая контролирует работу всех систем и при необходимости отражает атаки вручную.

В рамках услуги происходит защита не только web ресурсов заказчика, а также на 7 уровне анализируется SMTP, POP3, DNS, FTP, MySQL, MSSQL, SIP.

Защита от атак в полосе канала осуществляется на оборудовании, размещённом у заказчика. При этом заказчик может использовать DefensePro, приобретённый ранее и интегрированный с нашим центром очистки.

Трафик переводится на центр очистки средствами BGP внутри нашей магистральной сети только при превышении полосы атаки установленного с клиентом значения.

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

На графике, где отмечен момент включения DefensePro, никаких инцидентов, связанных с недоступностью публичных ресурсов или их аномальной загрузкой, не было, поэтому было не очевидно, на сколько нужно «закручивать гайки» по количеству connections. Никто и не ожидал резкого снижения нагрузки на Firewall.
В данном случае показан момент включения в режим блокировки после обучения. Настройки Request Rate – по умолчанию.

Information

Rating
Does not participate
Works in
Registered
Activity