Дмитрий, а какие Cisco-switches вы порекомендуете в качестве loadbalancer для фермы очистки трафика?
Можно эти свитчи к нам в лабу пригласить, чтобы воздух здесь не сотрясать?
Arista скотски дорога по сравнению с похожими Juni, например.
Но в лабе нам ее запинать не получилось, включая advanced features как ECMP. Плюс SDK модный, что для нас важно. Вообщем для нас, с нашими паттернами трафика и иногда странными «хотелками» альтернатив Arista пока нет.
А еще у аристы время на обработку пакета практически константа ;)
Еще раз, повторюсь: для Тебя, меня, 0din это проблем не доставит. Но вот для любого хостера или бизнеса у которого нет под рукой свободных 10G и железки способной перемолотить 14.88Mpps SYN-flood — это безусловно и однозначно станет проблемой.
С точки зрения бизнеса — это конечно радость-радость. Новые клиенты всем нам.
С точки зрения этики и морали — стандратная притча о продавце ружья.
И какая будет польза от «готового решения по защите» если к нему нужно 300Gbps полосы, умение ее балансировать и желание/умение искать ошибке в чемодане кода который отвечает за ML?
Рядовой пользователь из этого точно никакой пользы не извлечет.
Ну спасибо, конечно, за комплимент в виде «массового присутствия» и «отсутствия альтернатив».
Но, но это совсем не так. Есть Женя Ерхов и его IXI, Женя Касперский и его ЛК, сильная команда Муслима Меджлумова в Ростелекоме, МФИСофт и его Периметр. Альтернативы есть и их много. И они очень разные.
И это главное их свойство.
Задача несколько сложнее, чем вам кажется. Дело не в умении молотить много-много пакетов, и не в полосе чтобы эти пакеты принять. Посмотрите на CloudFlare — у них есть и пакеты и полоса и 120M инвестиций? Казалось бы, что мешает?
Мешает ровно та-же ошибка что допустили вы — «крутить-вертеть там можно только эвристику для шифрованных соединений и то не сильно».
О netmap/dpdk/pfring-dna я говорю чуть-ли не на каждой презентации.
Одно дело — делать фреймворк двойного назначения, и совсем другое дело публикация cookbook по приготовлению штамма холеры.
Дело даже не в «на (работе|свободное время)». Дело в том, что интернет штука крайне хрупкая и еще одной статьи с рецептом как его сломать (но без рецепта как его починить) нам всем и нехватало.
Поверьте, можно сломать интернет и гораздо меньшим количеством пакетов.
Ломать — не строить.
Слово HTTP в опросе несколько удивило и вызвало диссонанс этой статьей. Да, не учел что это именно ОПРОС.
Отдача долгов, как минимум, странная — дать людям(и не очень людям) колотушку поувесистей и милостиво забыть вооружить бета-тестеров хотя-бы касками.
Поверьте, и вылетит и долетит до кого надо. И да, мы занимаемся противодействием и нам эти фокусы не страшны. А вот коллеги и индустрия от таких фокусов пострадают.
Вопрос — ЗАЧЕМ и ЗАЧТО?
Какую задачу, кроме субьективного кармического долга, решаем?
Это не «HTTP» поскольку нет никаких семантически законченых http-конструкций. Это в чистом виде атака на сетевой стэк системы. И, часто, она будет успешной даже если вы льете мусор в TCP порт который никто не слушает.
И личный Вопрос: а вы не боитесь «Синдрома Сахарова»?
Какой смысл публиковать такой пошаговый HOWTO для script kiddies? Все люди «в теме» и так знали. Какую задачу решаем?
Можно эти свитчи к нам в лабу пригласить, чтобы воздух здесь не сотрясать?
Но в лабе нам ее запинать не получилось, включая advanced features как ECMP. Плюс SDK модный, что для нас важно. Вообщем для нас, с нашими паттернами трафика и иногда странными «хотелками» альтернатив Arista пока нет.
А еще у аристы время на обработку пакета практически константа ;)
dnsperf так не умеет %)
www.slideshare.net/andreyleskin14/highload2013dns032
ripe67.ripe.net/presentations/240-ipfragattack.pdf
У нас был достаточно бурный и веселый год, правда не только и не столько в «техническом» измерении. Больше про политики и законы.
Пролюлил я Ваше письмо, прошу простить всемилостиво. Отвечу сегодня.
Еще раз, повторюсь: для Тебя, меня, 0din это проблем не доставит. Но вот для любого хостера или бизнеса у которого нет под рукой свободных 10G и железки способной перемолотить 14.88Mpps SYN-flood — это безусловно и однозначно станет проблемой.
С точки зрения бизнеса — это конечно радость-радость. Новые клиенты всем нам.
С точки зрения этики и морали — стандратная притча о продавце ружья.
Рядовой пользователь из этого точно никакой пользы не извлечет.
www.slideshare.net/alexanderlyamin/phd2013-lyamin (23й слайд)
Но, но это совсем не так. Есть Женя Ерхов и его IXI, Женя Касперский и его ЛК, сильная команда Муслима Меджлумова в Ростелекоме, МФИСофт и его Периметр. Альтернативы есть и их много. И они очень разные.
И это главное их свойство.
Задача несколько сложнее, чем вам кажется. Дело не в умении молотить много-много пакетов, и не в полосе чтобы эти пакеты принять. Посмотрите на CloudFlare — у них есть и пакеты и полоса и 120M инвестиций? Казалось бы, что мешает?
Мешает ровно та-же ошибка что допустили вы — «крутить-вертеть там можно только эвристику для шифрованных соединений и то не сильно».
"«Играл — не угадал ни одной буквы».
Засим откланяюсь.
Одно дело — делать фреймворк двойного назначения, и совсем другое дело публикация cookbook по приготовлению штамма холеры.
Дело даже не в «на (работе|свободное время)». Дело в том, что интернет штука крайне хрупкая и еще одной статьи с рецептом как его сломать (но без рецепта как его починить) нам всем и нехватало.
Поверьте, можно сломать интернет и гораздо меньшим количеством пакетов.
Ломать — не строить.
Отдача долгов, как минимум, странная — дать людям(и не очень людям) колотушку поувесистей и милостиво забыть вооружить бета-тестеров хотя-бы касками.
Поверьте, и вылетит и долетит до кого надо. И да, мы занимаемся противодействием и нам эти фокусы не страшны. А вот коллеги и индустрия от таких фокусов пострадают.
Вопрос — ЗАЧЕМ и ЗАЧТО?
Какую задачу, кроме субьективного кармического долга, решаем?
И личный Вопрос: а вы не боитесь «Синдрома Сахарова»?
Какой смысл публиковать такой пошаговый HOWTO для script kiddies? Все люди «в теме» и так знали. Какую задачу решаем?