Как стать автором
Обновить

Комментарии 25

Как клиент Qrator говорю спасибо за TLS1.3 и ECDSA и очень жду IPv6. Прямо очень.


Ну и интересна живая статистика ECDSA vs RSA на конкретном примере.

с гостинцами: 116 Gbps при 26 Mpps.

Это вы, коллеги, атак толком не видите. У нас норма прошлого года — 350Mpps и 150-200Gbps в течении нескольких суток
На сайты, страницы и сервисы клиентов.

Вот например — живой скрин внешки за двое суток:

image

А почему сомневаетесь?
Читайте внимательнее текст — он касается исключительно TCP SYN-ACK'а за одни сутки на единственный URL. А что у вас на красивой картиночке, где G на оси Y?
Вот именно оно и есть. TCP. SYN-ACK. Амплификация.
Замечательно. Представим, что это так. Того же числа и за одни сутки? На ваши страницы?
(чтобы вы понимали — мы не разглашаем данные собственных клиентов без их на то согласия)
Скрин ничего не доказывающий. Эти Gbps могли и UDP атаки сделать.

Если уж меряться графиками, то в контексте TCP SYN-ACK график в Mpps показательней. И не для всего IP, а только TCP.

Не хотелось затевать мерянье графиками, но раз уж нужны пруфы, видимо Mpps действительно стоит приложить.



Обычная атака в 400 Mpps
Ось X скрыта как раз из соображений безопасности и деперсонализации, по времени это 3 часа.
Уважаемый, пока что вы меряетесь графиками с самим собой. И вы некорректно понимаете слово «пруф» — вам попытались объяснить, что ваши картинки плохо подходят под данный термин, но судя по всему безуспешно.
Не понятно из чего такой вывод.

В цитируемом предложении не идет речь про максимальную наблюдаемую SYN-ACK атаку на сеть qrator. А пишут о том, что при подготовке отчета на сайт qrator.net впервые прилетела эта атака, до этого они наблюдали только в сторону клиентов.
Того же числа и за одни сутки?

Такая синхронность выглядела бы странно )

У нас такой атакующий трафик норма почти ежедневно
Так и у нас норма. В чём вопрос-то?
Чей вопрос? Сомнения же у вас были.
Сомнения были в истинности ваших суждений, которые вы никоим образом не устранили. Или вы подумали, что какой-то график, размеченный по оси Y, здесь кого-то способен впечатлить или убедить, тем более учитывая, что вы опускаете принципиальные детали? Сомнения остались.
Да не ангажируйтесь вы так

Суждение было — «вы атак толком не видите»
Покажите, раз видите, чего вы нападаете сразу?

график, размеченные по оси Y

как раз отлично демонстрирует масштаб
Масштаб входящего атакующего трафика по оси Y. Там слева циферки подписаны.

Когда ваша клиентская база — Неуловимые Джо, которых атакуют раз в пятилетку, втирать дичь про мегаатаки в 25Mpps очень легко и удобно. Показать практический (деперсонализированный конечно) трафик вам понятно намного сложнее
@shapalez как при атаке TCP SYN-ACK-амплификация и 26 Mpps может получиться 116 Gbps?

Не до конца понял ваш вопрос.

Проверил — в атаке присутствовали и другие TCP-пакеты. Так как действительно чистый SYN-ACK такой интенсивности даёт значительно меньшую полосу.
Благодарю за отчет, очень интересно.
У вас в pdf в разделе TLS1.3 и ECDSA в сравнительной таблице создания и верифицирования подписей единицы измерения «поплыли».
Уже поправили измерения на наносекунды, спасибо за замечание.
Привет!

Расскажите, какие в Qrator используются методы защиты от SYN-flood атак?

Столкнулся с тем, что проходящие через Qrator ip запросы на домен моей организации теряют TCP опцию Window Scale, что заметно влияет на скорость загрузки страниц.

Начали общение с техподдержкой, написали коротко, что это нужно для защиты от не очень интенсивных SYN-flood.
Как я понимаю, проблема с TCP опциями только у защиты SYN cookies, которая не рекомендуется к использованию, как раз из-за проблем с производительностью.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий