ximaera — отличные комментарии, но статья не про это.
Cтатья про то как Ростелеком решает проблему DDoS для себя и своих заказчиков. И с этой целью она отлично справляется. Очень хочется прочитать Часть2. Коллеги молодцы.
WAF — это не самая алгоритмически легкая задача, и при хорошо поставленной атаке — умрет первой. Именно поэтому работает только в связке с ddos mitigation.
«The difference between Extended communities and Large communities is that an extended community only offers 6 bytes of space. A Large community effectively gives the operator 12 bytes of space: this means you can fit your ASN, a target ASN and an action in one community. If you have a 4 byte ASN, and you peer with another network whom also have a 4 byte ASN, that comes to a total of 8 bytes. You cannot fit that in a 6 byte „extended community“ because 8 > 6.» Job Sniders
В комплект к Arbor вам понадобится:
— минимум 2 квалифицированных головы, которые в состоянииа адекватно ими рулить — иначе получится вот так;
— каналы связи соответствующие текущим рискам (~200Gbps).
А вот с типизацией атак Алексей, на мой взгляд, излишне упрощает. Я-бы выделил 4 больших класса атак:
1. Bandwidth — здесь живут флуды большими пакетами, атаки типа amplification и reflection.
2. Infrastructure — атаки направленные на сетевую инфраструктуру — мозги которые обрабатывают пакеты и принимают решения куда их дальше отправить. Сюда входят высокоскоростные флуды мелкими пакетами, атаки на ре-фрагментацию, атаки на открытые внешнему миру control plane и всевозможные манипуляции с маршрутизацией (подмена, cache fanout)
3. TCP/IP stack — атаки на стек endpoint оборудования. Классический synflood, ackflood, игры с таймаутами и некорректными закрытиями соединений и, как ни странно, slowlorris.
4. L7 (Application layer) — все атаки в которых используются семантически законченные конструкции протокола приложения. Это самое сладкое — поскольку именно на этом уровне можно получить плечо атаки (соотношение ресурсов затраченных атакующим к ресурсам потребленным жертвой) может достигать астрономических величин.
Да, зимой была знатная заруба с пиццериями, но никаких «супер-страшных» гигабит по пиццериям вообще и вот этой конкретной пиццерии в частности нами не замечено.
вообще документ конечно не идеален, это первая версия.
Хочется расширить его по типам услуг но обязательно соблюдать паритет offensive/defensive.
Cтатья про то как Ростелеком решает проблему DDoS для себя и своих заказчиков. И с этой целью она отлично справляется. Очень хочется прочитать Часть2. Коллеги молодцы.
И что именно с рандомными соединениями делать?
Полнота наблюдений определяет Качество фильтрации;
Рандомное покрытие — > рандомный результат.
— минимум 2 квалифицированных головы, которые в состоянииа адекватно ими рулить — иначе получится вот так;
— каналы связи соответствующие текущим рискам (~200Gbps).
Плюс L7 у арбора никогда небыл «коньком».
Эти рекомендации приходят заказчику первым письмом в момент регистрации. Это я вас как краевед заверяю.
В искусстве считать собеседника идиотом — самое главное не перестараться, иначе эффект может получиться прямо обратный ожидаемому.
1. Bandwidth — здесь живут флуды большими пакетами, атаки типа amplification и reflection.
2. Infrastructure — атаки направленные на сетевую инфраструктуру — мозги которые обрабатывают пакеты и принимают решения куда их дальше отправить. Сюда входят высокоскоростные флуды мелкими пакетами, атаки на ре-фрагментацию, атаки на открытые внешнему миру control plane и всевозможные манипуляции с маршрутизацией (подмена, cache fanout)
3. TCP/IP stack — атаки на стек endpoint оборудования. Классический synflood, ackflood, игры с таймаутами и некорректными закрытиями соединений и, как ни странно, slowlorris.
4. L7 (Application layer) — все атаки в которых используются семантически законченные конструкции протокола приложения. Это самое сладкое — поскольку именно на этом уровне можно получить плечо атаки (соотношение ресурсов затраченных атакующим к ресурсам потребленным жертвой) может достигать астрономических величин.
Да, зимой была знатная заруба с пиццериями, но никаких «супер-страшных» гигабит по пиццериям вообще и вот этой конкретной пиццерии в частности нами не замечено.
Империя работала без перебоев ;)