Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

    Когда объявляется крупный онлайн тендер, иногда случается так, что одна заявка приходит довольно быстро, а затем площадка с тендером ложится под крепкой DDoS атакой. Атака странным образом заканчивается в момент окончания тендера. Поскольку одна заявка поступила, именно она и выигрывает. С такой проблемой (как и с обычными DDoS атаками от недоброжелателей и шантажистов) сталкиваются многие наши корпоративные клиенты.

    Теперь мы обеспечиваем защиту как сервис. Делается это на двух уровнях: установкой железа Radware DefensePro у клиента и при необходимости переключением трафика на наш центр очистки.



    Максимальная мощность атаки — 80 Гб/с (на уровень приложений, более мощные тоже фильтруются, но уже без гарантий по отсутствию потерь легитимного трафика), планируем по мере необходимости расширять до 160. Время от начала до отражения атаки на стороне клиента — 18 секунд максимум, на стороне центра очистки данных — до 40 секунд с учётом времени переключения трафика. При переключении потерь трафика не происходит.

    Как это делается


    Как обычно при подаче услуги вам необходимо для начала подписать с «Билайн» договор и заполнить бланк заказа (заявку) с необходимой для подключения информацией. После этого монтируется и конфигурируется оборудование DefensePro до первого маршрутизатора на входе в вашу сеть. Создаётся выделенный технический канал до центра управления (прозрачно для клиента: он никак не влияет на основной канал и по нему не выставляются счета). Физически это та же оптика (или другой канал), что и основная линия, но пропускная способность резервируется так, что даже при полном заполнении линии доступа интернет в момент сильной атаки канал управления работает нормально, и оборудование доступно. Оборудование через туннель IP VPN подключается к центру очистки.

    Оборудование находится у нас на техническом обслуживании, осуществляется постоянный мониторинг сетевой активности на ваших каналах. От вас ещё необходимо предоставить список защищаемых ресурсов, их тип, а также перечислить все диапазоны сетей, доступные через каналы связи. Кроме того, в случае обеспечения защиты от DDoS атак через другие каналы связи (других провайдеров) необходимо предоставить параметры данных каналов. Интеграция всего этого делается, если необходимо, с помощью наших специалистов. Возможно подключение сервиса непосредственно под атакой (в случае наличия нашего интернет канала). В этом случае весь трафик клиента переключается на центр очистки. За ходом отражения атаки наблюдают инженеры и, в случае необходимости, участвуют в фильтрации атаки. Делается это в течение одного рабочего дня.

    Само оборудование не влияет на легитимный трафик и имеет механизм беспрепятственного пропуска трафика в случае выхода оборудования из строя. На железке заводится аварийный байпас («медные» порты оборудованы ими «из коробки», на оптику ставятся внешние), чтобы даже при втыкании в неё железного лома трафик не пострадал.

    Ниже показан график загрузки Firewall, на котором хорошо заметно включение режима отражения атак. Видно, что загрузка CPU Firewall, расположенного на периметре сети, сокращается более чем в 2 раза. Это происходит за счет фильтрации паразитного трафика на Defense Pro, установленного до Firewall.



    Как это работает


    Гибридная схема «Защита от DDoS атак» построена на оборудовании Radware DefensePro. На сегодняшний день компания Radware является мировым лидером в области обеспечения безопасности сетей и приложений.

    В используемом решении от DefensePro реализованы следующие необходимые механизмы защиты:
    • Behavioral DDoS Protection;
    • TCP SYN Flood Protection;
    • Connection Limit;
    • HTTP Mitigator;
    • Behavioral Server-Cracking Protection;
    • Bandwidth Management;
    • Signature Protection;
    • Stateful Inspection;
    • Anti-Scanning Protection;
    • Stateful Firewall (ACL).

    Данный список далеко не полон, перечисление всех типов защит занимает 218 страниц в руководстве производителя. DefensePro позволяет отражать атаки до 7-го уровня модели OSI и при этом не резать легитимных пользователей (то есть не закрывать сразу целые подсети по провайдерам, как могут делать менее точные средства защиты).

    DefensePro работает в режиме in-line, невидим для сетевого оборудования (Transparent L2 Forwarding). Это означает, что на него невозможно совершить атаку, что гарантирует работу оборудования в любых условиях.

    Первую неделю устройство работает в режиме обучения и собирает статистику для профилирования трафика. В ряде случаев обучение может длиться и до месяца. Затем устройство переключается в режим отражения и работает с полной отдачей. При аварийной установке режим обучения сокращается до минимума, необходимого для начала отражения, и сеть заказчика полностью профилируется несколько позже. В случае если в процессе использования для защиты добавляются новые устройства или on-line сервисы, приводящие к изменению профиля трафика, оборудование дообучается и адаптируется само (даже в режиме отражения атаки оно продолжает собирать данные). Для обеспечения корректной фильтрации при незавершенном периоде обучения, либо в случае экстренного подключения сервиса под атакой, в Билайн круглосуточно работает служба технической поддержки клиентов по этой услуге.

    Устройство, стоящее у вас, отражает все атаки в полосе канала и профилирует трафик. При наступлении атаки формирует сигнатуру атаки в течение 18 секунд при сложном случае и 5-6 секунд в общей ситуации при имеющейся гранулярной политике (хорошо описанной сети). Устройство сопоставляет ширину канала с мощностью атаки. Как только (устанавливаемое вручную) значение критичности канала (например, 20–30% от его ёмкости) превышается, устройство по отдельному каналу управления сообщает в центр очистки Билайн о ситуации и передаёт профили и сигнатуру. Трафик переключается в центр очистки в течение 40 секунд. Атака приземляется на наше оборудование, возвратный трафик идёт в тот же канал интернет.

    Переносится либо весь сегмент (при горизонтальном UDP-флуде), либо конкретный адрес. Поскольку переключение происходит внутри магистральной сети Билайн, разрыва в трафике нет.

    Обратное переключение идёт в ручном режиме службой технической поддержки клиентов. Эта же команда детектирует и отражает атаки, которые не были найдены в автоматическом режиме. Переключение трафика после атаки обратно выполняется ими же вручную, поскольку пока не существует достаточно точных алгоритмов определения моментов прекращения атаки.

    Вся система защиты и центр очистки организованы на транспортной сети Билайн, что не ограничивает нас по суммарной пропускной способности каналов, которые большинству других провайдеров по защите от DDoS приходится брать в аренду.

    Почему пользователи не страдают


    При различных атаках в момент срабатывания альтернативных систем защиты, направленных на обеспечение доступности канала связи, конечные пользователи лишаются доступа к on-line ресурсу компании. Получается, что системы организации защищены, но при этом полностью останавливается бизнес-процесс до момента прекращения атаки.

    В случае использования услуги «Защита от DDoS атак» от Билайн доступ к системам открыт для пользователей, при этом отражение атаки происходит параллельно и не влияет на прохождение легитимных запросов.

    При атаках группы slowloris и подобных, а также атаках с широкой географией требуется тщательный подход к тому, чтобы отличить живых пользователей от ботов. К примеру, для детектирования атак внутри SSL у нас на уровне железа делается следующее:
    1. Сначала посылается 302-й редирект пользователю. Примерно половина ботнетов его не проходит — как правило, на этом заканчиваются истории «давай завалим конкурента задёшево на сезонный пик».
    2. Если ботнет отрабатывает редирект, каждый отдельный клиент получает Javascript буквально на 3 строки. Современные ботнеты этот скрипт не проходят.
    3. Теоретически на данный момент создано решение, позволяющее пройти этот второй уровень защиты. Специально для таких ситуаций у производителя оборудования есть собственная команда специалистов ERT (Emergency Response Team), тщательно изучающих закрытые специализированные ресурсы. Соответственно, эти эксперты нашли и заранее определили данный tool и имеют защиту. Как только он будет использован, защита включится.
    4. Команда быстрого реагирования доступна 24/7 по телефону поддержки. При выходе нового обхода защиты новые методы «накатываются» за 5 минут. Эти 5 минут ресурс будет испытывать проблемы, но таковы принципы этой гонки «щита и меча».

    Дополнительно стоит отметить, что основным вопросом гарантированного отражения атаки является защита канала связи, которую невозможно обеспечить на стороне клиента. В связи с этим защиту канала необходимо организовывать на уровне оператора связи. Центр очистки Билайн как раз и решает эту задачу.

    Где используется


    Большинство наших клиентов не планируют рассказывать о том, что у них установлена такая защита, по очевидным причинам. Тем не менее, можно назвать сферы — это банки (традиционно заботящиеся о безопасности до наступления аварийной ситуации), госкомпании и крупный ритейл. Ситуация с тендерами уже описана выше — поэтому к нам подключаются электронные площадки. Кроме того, встают под защиту компании-производители: дело в том, что по условиям тендеров часто нужно выкладывать определённую информацию на своём сайте, и если вдруг комиссия не сможет это проверить, то заявка будет снята. Как вы можете догадаться, положить такой сайт на время тендера обычно довольно легко, чем и пользуются некоторые заинтересованные лица.

    Собственно, узнать подробнее о защите можно в комментариях, а уточнить про то, как подключить эту услугу — вот здесь.
    ВымпелКом (Билайн)
    77,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 65

      +7
      «Защита от атаки любой мощности»
      «Мощная атака грозит „залить“ линк»
      «Клиентское оборудование отражает атаку»

      Маркетологи такие маркетологи…
        +2
        По графикам видно что Defense Pro «выпилил» лишнего ~20% — CPU есть функция от Request Rate, жалко сам Request Rate не показываете.
        И пропустил лишнего Connections раза в 2 выше нормы до инцидента.

        А вы его настраивать пробовали? Вроде-же хорошая железка Defense Pro.
          0
          Если посмотреть на время, то начало атаки примерно соответствует началу рабочего дня, а вы за бейслайн принимаете значение в пять часов ночи.
            +1
            Это все хорошо, но почему тогда CPU usage (который вроде функция от Request Rate) упал в 2 раза ниже ночного бейслайна? Это FP?
              +1
              Да вообще странная какая-то атака.
                +2
                Как раз обычная достаточно для формата «ручного отражения». Качество — абсолютно непредсказуемо и зависит от радиуса кривизны рук. Тут TimeWeb с Pravail в прошлом году отметился. И ровно такая-же история — пропустили/фильтранули лишнего…

                Ну это ладно, бывает. Но не увидеть это в картинках своей «победной реляции» на хабре.....image
                  0
                  К вопросу. Несколько часов у меня не открывался хабр (иногда стили не загружались, иногда SYN ACK не было). Проблема совершенно точно не на моей стороне. www.downforeveryoneorjustme.com/ говорил, что с его точки зрения проблем с ресурсом не было. Уважаемый сотрудник highloadlab — чозанах? Это вы так качественно не теряете полезный трафик? :)
                    0
                    Дим, это было непосредственно с habrahabr.ru (178.248.233.33)?
                    SYN ACK не отвечал именно этот IP?
                    image

                    Как видите Down For Everyone прав — все работает и «ни единого разрыва». Черный список так-же пуст.
                    Думаю SYN ACK и стили, сьедал кто-то по дороге — например ближайший к вам NAT.
                      0
                      За ближайший ко мне NAT я ручаюсь :)

                      Сообщение, где черными буквами на белом фоне было что-то вроде «Qrator 400» после минутного (или около того) ожидания, тоже генерирует наше железо? Было несколько раз.

                      Адрес точно 178.248.233.33. Логи файрвола говорят о куче SYN timeout'ов, закрытий по RST изнутри (браузеру надоело ждать), редко по FINам. Задница продолжалась где-то с 09:43 до 12:41 (самый вал ошибок).

                      А о чем говорит этот график? Атаки нет что ли, просто так теряете трафик? :)

                      За магистрали тоже ручаюсь, связность в интернете у нас хорошо мониторится. Впрочем, трассировку не делал.
                        0
                        Там помимо Qrator 400 еще совершенно точно была строчка GURU MEDITATION. Можно вот ее тоже сюда :)

                        график говорит говорит о том что все гладко и ровно, а вот tcpdump с вашего файрвола или полный текст ошибки Qrator сделал-бы ваш пост менее похожим на попытку обычного интернет-троллинга ;)
                          0
                          я оставлю это здесь
                          ping-admin.ru/free_test/result/1400061572ti6a99569v1h9ij9tq85u.html

                          хороший сервис. пользуйтесь.
                            0
                            Скажу по секрету — если у кого-то работает, а у кого-то нет, то это все-таки говорит о проблемах с сервисом… Какой смысл пользоваться еще одной сторонней пингалкой, когда первая говорит «всё ок», а страница у меня все равно не грузится?
                              0
                              Пингалка хороша распределенностью и хорошим покрытием российского сегмента. И дает некоторое, приближенное к реальности, представление о наличии/отсутствии связности.
                                0
                                Допустим, там всё зелено (вы наверняка сами отслеживаете такое). А у меня страшные ошибки вылезают, страницы грузятся по несколько минут без стилей, генерируемые куратором сообщения показываются. О чем это говорит? :)
                            0
                            По таким вопросам я всегда предельно серьезен. Проблема была, и однозначно на вашей стороне. Дамп не предоставлю — какой смысл сниффить, когда telnet на 80-й порт не проходит и появляются генерируемые вашей стороной ошибки?
                              0
                              Вот про «однозначность стороны» учитывая то что это интернет и активного оборудования (в том числе и DPI ) по дороге может быть понатыкано уйма — это достаточно смелое программное заявление.

                              Какие-то предположения о просихождении проблем можно делать только имея tcpdump с двух сторон, да и то не всегда…

                              edit: чтобы не быть голословным roem.ru/2014/05/12/mega99078/
                                0
                                Кто-то кроме вас может генерировать страницу «qrator 400»?
                                  0
                                  я не уверен о какой Qrator 400 идет речь.

                                  Наша 400я содержит еще несколко строчек текста который позволяет понять что и где именно случилось, вплоть до ядра…
                    0
                    Ещё раз отметим, какой-то целенаправленной атаки на ресурсы не было. Было большое количество «мусора», которое нагружало IPS на FW
                0
                На графике, где отмечен момент включения DefensePro, никаких инцидентов, связанных с недоступностью публичных ресурсов или их аномальной загрузкой, не было, поэтому было не очевидно, на сколько нужно «закручивать гайки» по количеству connections. Никто и не ожидал резкого снижения нагрузки на Firewall.
                В данном случае показан момент включения в режим блокировки после обучения. Настройки Request Rate – по умолчанию.
              +4
              Вообще-то когда на тендер приходит только одна заявка, тендер обычно считается неудачным. Минимум две а то и три надо.

              Это по ФЗ если что.
                +3
                Дык, шлём две и дальше блокируем проведение тендера. Видел я пару контор, котоыре так работали — всегда на тендеры ходили вместе. Одни ставили цену на 20% выше.
                  +2
                  Коммерсы не закупаются по ФЗ 44 или 223, только госы.
                    0
                    В открытом аукционе в электронной форме процедура с одной заявкой считается несостоявшейся и контракт заключается по этой заявке по МАКСИМАЛЬНОЙ цене лота.
                    Процедура аукциона и правда не проводится.

                    *Это относительно гос.контрактов проводимых через ОАЭФ
                      0
                      И, кстати, по ФЗ, если что, такого понятия, как «тендер» вообще не существует.

                      Тендер, относится исключительно к коммерческим торговым площадкам.
                      –3
                      Всё что описано в статье можно решить за бесплатно — cloudflare
                        0
                        Нельзя.
                        Хотя бы тот же httpS в cloudflare за денюшку.
                        Да и DefensePro железка не только для защиты сайта.
                          0
                          ок, но цена cloudflare будет сильно ниже.
                            0
                            За какой период?
                            И да. Мы вроде как не увидели цены на услуги ВымпелКом-а.
                              0
                              ну да, только он не в России
                                –2
                                Ну так одни плюсы же!
                          +3
                          В России давно есть qrator.net, который доказал свою профпригодность временем и делом. Чем вы лучше? Если, как я понял, всё что вы делаете, это покупаете чужое antiDDoS оборудование и позиционируете его как панацею?
                            0
                            QRator, при всем уважении к тому, что они сделали — допиленный нжинкс и пачка каналов для амортизации бэндвиз-ориентированных атак. И тут, и там некоторая доля ракетной науки присутствует, но в случае билайна, пусть они выступают перепродавцами с маржой, эффективность будет выше. Еесли бы реселлеры озвучили ценники прямо в посте, можно было бы предметно сравнивать. Ну и да, сравнивать потребности озвученных клиентов со среднестатистической айти-компанией нельзя из-за специфичной оптимизации расходов на айти у первых.
                              +3
                              Ну нас часто упрекают, про то что мы «на коленке сделаны».
                              Мы не только HTTP умеем, но и любой другой протокол — это с вашим «nginx на коленке» никак не бьется.
                              DNS умеем вообще достаточно элегантно, отдельная песня и предмет для гордости.

                              И packetrate держим в десятки мегапакетов, и SSL умеем без раскрытия сертификатов — чем ни Radware, ни CloudFlare похвастаться не могут.

                              Мы не обижаемся. Коленки у всех разные.

                                0
                                Боюсь вступить в длинную и не очень продуктивную (по причине NDA) дискуссию — почему десятки mpps при фильтрации считаете достижением? Это достижимо, в общем, на опенсоурсных технологиях и на очень небольших мощностях. SSL тоже можно довольно лихо фильтровать эвристикой в зависимости от поведения отдельного флоу, но при этом неизбежны фолспозитивы.
                                  0
                                  Что касается SSL, то мы его тоже умеем без раскрытия сертификатов, также мы умеем внутри SSL отражать атаки на уровне приложения.
                                  PacketRate — сейчас гарантированно держим 50 мегапакетов, предусмотрено расширение до 100. Но это все сугубо технические характеристики. Самое главное то, что мы под атакой не теряем легитимный трафик (подтверждено как независимыми тестами, тот же NSS Labs, так и тестами, которые проводили наши клиенты)
                                    +2
                                    Без раскрытия сертификатов L7 атаки?
                                      –1
                                      Да, на 7 уровне сертификаты также не раскрываем.
                                        0
                                        Да вы волшебник ;)
                                        Не видя семантики приложения делать разгадывать робот/человек — это сильно.
                                          0
                                          Да, мы волшебники, и нашли способ это делать. Рассказать, увы, не можем. Но то, что проверка делается — факт. Догоняйте.
                                            0
                                            Ох уж эти сказочки, ох уж эти сказочники… ;)
                                              +2
                                              Как вам тут уже написали, Radware DefensePro, на основе которого вы построены, таких чудес не умеет и требует раскрыть ключи шифрования.

                                              Что ещё важнее: если вы утверждаете, что умеете:
                                              • анализировать поведение пользователя в шифрованном трафике
                                              • подставлять в этот трафик JS и редиректы

                                              и всё это без расшифровки трафика, то это означает одно из двух:
                                              • либо вы тем самым заявляете, что скомпрометировали алгоритмы шифрования, которые используются HTTPS (причём все: от RSA до ГОСТ). Это достаточно громкое заявление, которое заслуживает отдельного поста, поскольку у сообщества автоматически возникает целый ряд вопросов, в т. ч. о безопасности финансовых операций, проводимых через HTTPS сквозь вашу систему защиты.
                                              • либо такой анализ требует дополнительного содействия от вашего клиента. Какого содействия? Что дополнительно должен сделать клиент, чтобы быть защищённым?
                                                0
                                                DefensePro не участвует в распознавании атаки внутри SSL, поскольку, как правильно было замечено, не умеет этого делать без раскрытия ключа.
                                                Для этого используются дополнительные методы анализа, которые не требуют передачи нам клиентского ключа шифрования, в связи с чем нет рисков его компрометации.
                                                  0
                                                  Но как эти методы работают? Ведь вы не видите запросов в трафике! Или алгоритм RSA всё же скомпрометирован? :-)

                                                  Или вы полагаете, что для анализа L7 достаточно таймингов и информации об объёмах передаваемых данных? :-)
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Не похоже. Модели поведения могут быть только у пользователя, у шифрованного трафика могут быть только косвенные показатели.

                                                    Полноценный поведенческий анализ на основе таймингов и размеров передаваемых данных — это утопия. Для того, чтобы обмануть такой «анализ», достаточно последовательно отправлять заранее определённые запросы по кольцевому списку, что ботнеты умеют делать уже достаточно давно :-)
                                          +1
                                          У меня вопрос / предложение насчёт 50 мегапакетов. Мы предлагаем организовать совместное тестирование заявленных характеристик на Вашей территории с нашим генератором атак.

                                          Будем делать несколько видов атак с пакетрейтом 10-50Mpps, результаты опубликуем на Хабре в рамках отдельной статьи.

                                          Жду ответа.
                                            0
                                            Тогда уж лучше нашу команду во главе с BeLove позовите вас потестить, чтобы все честно было.
                                              0
                                              да и мы тоже с удовольствием потестим контр-меры ;)
                                              давайте устроим Pchelki-CUP?
                                            +2
                                            В документине, описывающей механизм radware «securing-online-businesses-from-ssl-ddos-attacks-wp» есть фраза:

                                            The SSL engine terminates the client connection, performs the SSL handshake, decrypts the traffic, and returns it to the application layers of defense in a clear text (marked as dashed blue lines).
                                            The SSL termination requires that certificate will be installed on the SSL engine.
                                              0
                                              Абсолютно верно — именно так всё и работает, но нигде не написано что ставится боевой сертификат. Фишка заключается как раз во втором, не боевом сертификате — его компрометация ничего не даст, а железки, куда ставится этот сертификат, еще и под контролем клиента.
                                              +5
                                              Есть довольно большие сомнения насчёт всех заявленных характеристик, особенно после внимательного взгляда на представленный график.

                                              Начальные данные


                                              Данных мало, но попробуем сделать апроксимирование линейной функцией. Вряд ли потребление процессорного времени становится более эффективным при увеличении мощности атаки и при сохранении качества работы.

                                              Считаем минимальные значения — поправкой (bias) получаем:

                                              CPULoad = CPU_load_min + Theta * (Полоса занимаемая атакой — Throughput_min).
                                              или
                                              CPULoad = 11 + 5.057683e-08 * (Полоса занимаемая атакой — 75Mbit/s). Здесь 75Mbits = 9 834 056 Bytes/s * 8 = 78 672 448 Bits/s.

                                              Считаем ошибку по среднему (Average) значению Throughput, по которому в исходных данных указано значение CPU Load 17.03%

                                              ApproxCPULoad = 11 + 5.057683e-08 * (219234872 — 78672448) = 18.109 %
                                              Error = ( 18.109-17.3 ) / 17.3 * 100 = 4.6763%.

                                              Смотрим график



                                              За неимением других данных — результат более-менее :-). Отметим, что при увеличением трафика эффективность его обработки вряд ли будет увеличиваться, скорее наоборот — процессорного времени перестанет хватать и начнутся: либо FP, либо FN.

                                              Дальше считаем загрузку процессора, которая получится при заявленных характеристиках по пропускной способности, возьмём 10-50Gbit/s.



                                              Получаем, что при 10Gbit/s, CPU Load должен быть 550%, а при 50Gbit/s — 2700%.

                                              Собственно, указанные выше соображения и вызывают сомнения в том, что указанное в статье решение «гарантированно выдержит», «без потерь легитимного трафика» 10-50Gbit/s. Думаю, что с таким CPU Load, значения FP и FN будут зашкаливать, что неизбежно приведёт к критической деградации сервиса.

                                              IMHO слова «гарантированно выдержит» и " не теряем легитимный трафик" следует дополнять конкретными числами по мощности/типу атак, TP/TN/FP/FN, Accuracy и Precision.

                                          0
                                          В отличие от простой продажи оборудования мы предлагаем защиту от мощных DDoS атак как сервис. Редкая компания станет сама себе покупать оборудование, способное защитить от атак в 80 Гбит/с, и нанимать штат специалистов, умеющих с этим оборудованием работать – это слишком дорого. У нас есть поддержка 24*7, которая контролирует работу всех систем и при необходимости отражает атаки вручную.

                                          В рамках услуги происходит защита не только web ресурсов заказчика, а также на 7 уровне анализируется SMTP, POP3, DNS, FTP, MySQL, MSSQL, SIP.

                                          Защита от атак в полосе канала осуществляется на оборудовании, размещённом у заказчика. При этом заказчик может использовать DefensePro, приобретённый ранее и интегрированный с нашим центром очистки.

                                          Трафик переводится на центр очистки средствами BGP внутри нашей магистральной сети только при превышении полосы атаки установленного с клиентом значения.
                                            +3
                                            «вручную» — самое печальное слово в этой песне.
                                              0
                                              Отражение атак и на клиентском оборудовании, и в центре очистки происходит в автоматическом режиме. Но за любой автоматизацией всегда должны стоять реальные люди.
                                              В исключительных ситуациях их необходимо подключать. Например, если оборудование не прошло период обучения до конца, либо подключение идет под атакой.
                                              Даже в таких ситуациях железо, конечно, проведет очистку, но более тонкую фильтрацию в соответствии с профилем трафика конкретного клиента можно сделать только вручную.
                                          +3
                                          1. Как давно внедрили защиту по этой технологии?

                                          2. В презентации написано «Защита от атаки любой мощности» (я так понимаю это с оговоркой на «более мощные тоже фильтруются, но уже без гарантий по отсутствию потерь легитимного трафика») — прокомментируйте, плиз.

                                          3. Далее указана «Максимальная мощность атаки — 80 Гб/с», в спеке DefensePro 40420 указана максимальная пропускная (я так понял фильтрующая) способность — 40Gbps. Где ошибка? Или они могут стэкироваться каким то образом? 40Gbps это физическое ограничение платформы или какое-то лицензионное?
                                            0
                                            Сервис был запущен в конце прошлого года.

                                            Всё верно – атаки свыше 80 Гбит/с фильтруются, но с возможными потерями легитимного трафика.

                                            Один DefensePro максимально несет на борту один 40g-сегмент и 4 сегмента по 10G, а в стандартную 42-юнитовую стойку можно установить 21 модуль. Дальше, извините, по соображениям безопасности не могу детализировать.
                                              +2
                                              Прошу прощения, я видимо неправильно вас понял, ведь стекирование и установка в одну стойку — это немного разные вещи. При чем тут стойка? На сайте DP нет информации о том, что несколько DP могут стекироваться и увеличивать таим образом пропускную (фильтрующую?) способность.

                                              P.S.: Да и потом, поставив 21 DP в одну стойку, вы её расплавите при первой серьезной атаке. Не говоря уж о том, что это все добро питать надо чем-то.
                                                +2
                                                и стянуть столько полосы в один узел…
                                                  0
                                                  Архитектура центра очистки позволяет распределить трафик.
                                                  Один DP x420 потребляет 650 Вт. 13650 Вт на стойку – это нормально.

                                              –3
                                              А по тупому — переход на HTTPS разве не уберет 99% подобных атак?
                                                +3
                                                К примеру, для детектирования атак внутри SSL у нас на уровне железа делается следующее:
                                                1. ...302-й редирект..
                                                2. каждый отдельный клиент получает Javascript буквально на 3 строки


                                                Внутри SSL то? Без сертификата? А если с ним, в чем был смысл указывать, что это все внутри SSL?
                                                  +1
                                                  > Если ботнет отрабатывает редирект, каждый отдельный
                                                  > клиент получает Javascript буквально на 3 строки.
                                                  > Современные ботнеты этот скрипт не проходят.

                                                  Это не так. Мы (Qrator) впервые зарегистрировали деятельность JS-enabled-ботов, ЕМНИП, в 2011 году; Incapsula сообщила о крупной атаке с использованием PhantomJS в октябре 2013 г.
                                                    0
                                                    Гораздо интереснее было бы решение, позволяющее без предварительного обучения и наличия в «предоплаченной» сети максимально быстро отражать атаки.
                                                    В принципе, решается только если хотя бы DNS-сервера размещены у защитного сервиса (даже без предварительной фильтрации трафика) и доступна предварительная статистика по другим клиентам. А то все эти «режимы обучения» стоимостью дороже, чем отражение атаки.

                                                    Одной из метрик эффективности защиты является время подключения отражения хотя бы 80% атаки «с нуля». Кто готов дать статистику с SLA?
                                                      +1
                                                      Вы совсем недавно анонсировали свою услугу и на рынке не так много отзывов о качестве предоставляемого вами сервиса, поэтому хотелось бы понять проводилось ли сравнение antiddos услуг от других операторов/cloud-сервисов? Было бы очень интересно услышать чем вы лучше или хуже? А также в чем отличие услуги построенной на базе решения Radware?

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое