если не секрет, то как построена инфраструктура анти-ДДОС сервисов типа qrator.net

Question

[unsobill]

Понятно что само анти-ддос решение скорее всего написано самой компанией для себя и является вероятно секретом, мне же интересно как выглядит их инфраструктура в целом с позиции системного интегратора/инженера…

Answer 1

[Пума Тайланд]

Да ровным счетом как у всех.
Стойки с серверами + роутеры + bgp + толстые 10 гигабитные каналы от нескольких провайдеров.
С точки зрения инфраструктуры почти у всех все стандартно. Как говорится вся прелесть в софте.

Comments

[Пума Тайланд]

Ну это логично, таже самая схема только умноженная на n.

Answer 2

[subvillion]

Если совсем просто — они выставляют в качестве фронтов свои сервера на толстых каналах. На серверах стоят проактивные IDS анализирующий трафик. Валидный трафик уходит на сервер клиента, невалидный оседает.

Answer 3

[Linco]

Обычно, такие системы строятся следующим образом: трафик заворачивается по ДНС на серверную ферму на толстых каналах, там фактически стоит простая прокся+специальный софт (аппаратно/программные комплексы) для анализа и фильтрации. В нормальном состоянии собирается статистика о посещаемости ресурса, кто, когда, куда и сколько ходит при отклонении от параметров, считается за атаку и начинает чистить.
Как таковые это не IDS, принцип работы другой. и предназначены IDS для другого.
Может быть развернут весь трафик(например BGP), но возвращать его придется по туннелю. (Касперский). И не всегда это можно сделать.

Comments

[flx]

Пара уточнений:
Завернуть нам трафик можно:
— DNS announce,
— BGP announce,
— Tunnel

Если вы придумаете какой-то другой способ которым можно передать трафик на наш фильтр — мы с удовольствием его реализуем, но пока вот так.

Можно вернуть его не по тоннелю, а по выделенному L2 каналу или паре таких каналов. Делается это для того чтобы избежать нестабильности участков сети с динамической маршрутизацией.
Сейчас у нас разрабатывается некоторый новый тип тоннеля, с совершенно забавными сетевыми свойствами — но об этом готовы будем рассказть в новом 2013 году.

Подходящее решение можно найти всегда, не всегда оно бывает тривиальным.

[Linco]

C BGP есть вопросы, фактически тогда для клиентов вы должны становиться провайдером, в RIPE должны быть прописаны соответствующие route-object.

[flx]

да, соотвествующие раут обжектс действительно прописать прийдется.
где вопросы?