Как защитить серверы от DDoS с помощью Cisco?

Здравствуйте!

Есть несколько десятков серверов в двух стойках к которым в сумме подведено около 10 Gbps с возможностью расширения до 40-50 Gbps. Периодически «приходят» атаки в несколько гигабит или более и забиваю канал. Для борьбы с атаками используется внешний сервис, который помогает, но приходится менять IP-адреса. Т.е. при появлении атаки у всех сайтов меняются IP-адреса на специальные защищенные, которые предоставляет компания, у которой покупается данная услуга. А на атакуемые IP-адреса в сетевом оборудование режется трафик на 100%. Но это схема имеет существенный для нас недостаток — нужно время на изменения IP в DNS и время на обновление DNS.

Хотим сделать схему с защитой с помощью сетевого оборудования Cisco (или какого-либо другого) внутри ДЦ, чтобы не пользоваться данным внешним сервисом и не менять IP.

Подскажите, пожалуйста, возможно ли это и, если да, то в какую сторону копать? Где можно найти консультанта по данному вопросу?
  • Вопрос задан
  • 6638 просмотров
Пригласить эксперта
Ответы на вопрос 4
@asd111
BGP Blackhole
habrahabr.ru/post/211176
Ответ написан
Комментировать
opium
@opium
Просто люблю качественно работать
У циско есть свои решения для борьбы с ддосом, спросить логично у самой циски.
Ответ написан
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
ДДоСов очень много типов и видов, первое что нужно при любом - очень жирный входящий канал, чтоб он не умер и можно было загонять трафик на коллекторы для анализа, если канал есть дальше выходить на контакт с Aruba или Radware почитайте на их сайтах, посмотрите обзоры - это самые известные игроки рынка, у циски тоже есть свои наработки, но по соотношению цена/эффективность лично по моему мнению не лучший вариант.
Ответ написан
@throughtheether
human after all
Я считаю, что перед тем, как покупать новые устройства, крайне желательно оптимизировать инфраструктуру с целью повышения ее надежности. Поэтому в комментарии коснусь и других тем, не только анти-DDoS решений.

Есть несколько десятков серверов в двух стойках к которым в сумме подведено около 10 Gbps
Что значит около 10 Гбит/с? Используются 10-гигабитные линки или агрегация из нескольких гигабитных? По некоторым соображениям первый вариант предпочтительнее.

Периодически «приходят» атаки в несколько гигабит или более и забиваю канал.
Интенсивность трафика вам известна откуда? Необходимо понимать, что если мусорный трафик представляет собой UDP или сегменты TCP без установления сессии, то вполне возможна такая ситуация, когда к вашему провайдеру приходит 10-20 гигабит/c адресованного вам трафика, а до вас доходит лишь его часть. Если есть возможность, запросите статистику (данные netflow) хостинг-провайдера.

Хотим сделать схему с защитой с помощью сетевого оборудования Cisco (или какого-либо другого) внутри ДЦ, чтобы не пользоваться данным внешним сервисом и не менять IP.
Касательно оборудования Cisco. Было у Cisco Systems решение Clean Pipes, предназначенное для противодействия DDoS-атакам. Состояло из двух компонент - детектора аномалий (Cisco Traffic Anomaly Detector, использовалось опционально) и собственно фильтрующего устройства (Cisco Anomaly Guard). Оба устройства имеют статус End-of-life. Далее совместно с Arbor Networks была разработана архитектура Clean Pipes 2.0, где, насколько мне известно, основную работу выполняло устройство Arbor Peakflow TMS (threat management solution). О существовании современного устройства под брендом Cisco Systems, разработанного для противодействия DDoS-атакам, мне неизвестно.

Подскажите, пожалуйста, возможно ли это и, если да, то в какую сторону копать?
Во-первых, определитесь, зачем вам это. Если мусорный трафик на клиента приводит к недоступности вашей сети (т.е. к полной утилизации линка), то это одно. В таком случае вам поможет BGP blackhole (RTBH, remotely triggered blackhole filtering), отбрасывая весь трафик до клиента. Эффективно клиентский хост будет недоступен (т.е. DoS-атака удалась, отказ в обслуживании достигнут), но мусорный трафик будет отброшен на оборудовании провайдера, не влияя на работоспособность вашей сети. На мой взгляд, иметь настроенный RTBH необходимо. Для этого можно использовать, например, программный BGP клиент, вроде exabgp или quagga.

Если вы планируете фильтровать клиентский трафик (т.е. отбрасывать мусорный и пропускать "полезный", что бы это ни значило), то RTBH не подойдет. Возможные варианты (с которыми я работал либо работу которых наблюдал) аппаратных решений - грамотно настроенный сервер под Linux/*BSD с картами Intel (дешево, гибко, множество нюансов), Juniper SRX подходящей мощности (дорого, от некоторых атак вполне защищает, но, на мой взгляд, специализированное решение предпочтительнее), Arbor Peakflow TMS (дорого, красивый интерфейс, в целом понравилась работа с ним), Периметр от МФИ-Софт (работает, но не без нюансов).

Кроме самого устройства или внешнего сервиса, как я уже упоминал, следует, на мой взгляд, удостовериться, что:
1) сеть находится под всесторонним мониторингом
2) имеется либо отдельная (management) сеть для управления, либо настройки QoS на линках, резервирующие полосу для трафика систем управления.
3) настроена защита CPU сетевых устройств (Control plane protection policy в cisco-мире)
4) отсутствуют другие узкие места (например, ECMP в том или ином виде, агрегация двух линков в 1 гигабит/c не во всех случаях дает пропускную способность в 2 гигабита/с)

Подводя итог, скажу, что проблема устойчивости работы сети в целом и защиты от DDoS-атак в частности - комплексная, и решать ее стоит соответственно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы