Ситуация такова, поставили задачу «допилить» БОЛЬШУЮ серверную, которая используется под проекты компании. Допилить = привести в порядок.
Сейчас встал вопрос с аппаратным решением для защиты от Dos/DDoS атак.
Хотел бы узнать у хабра сообщества кто и чем защищается и какой объем + тип атак отбиваете.
Интересует более менее универсальное решение, которое сможет предотвращать и отбивать от мелких до средних, если впишемся в бюджет и крупных атак.
Я понимаю, что универсального решения нету, но что-то где-то близкое к этому было бы не плохо ;-)
Спасибо всем за ответы.
По старому обычаю с меня плюсики.
Думаю вам подойдет железо уровня enterprise: Arbor pravail, Radware defence pro, Периметр-мини. Более детально можно говорить при наличии информации о примерном бюджете, объеме трафика, схеме сети (имеется ввиду включение железа по схеме inline или out-of-path).
Поддерживаю, но необходимо учитывать ширину upstream каналов. Вероятно, имеется multihomed подключение к нескольким операторам. Какие шаги будете предпринимать если прилетит мусора > ширины каналов? Если речь о ДЦ, который подключен 10G линками, то проблема имеет место быть, но стот не столь остро (страховка в любом случае нужна). Если это серверная в корпоративной сети, подключенной линками 100mbps — 1gbps, я бы на вашем месте совсем отказался от затеи строить что-то самостоятельно, а посмотрел в сторону услуги от операторов, либо комбинация Pravail (у вас) + Peakflow SP (у оператора)
У нас на данный момент 2 аплинка по 4гбс от местных провайдеров, но планируем арендовать физику до магистрали и там брать канал пошире до 10гбс на первых порах.
ежедневно получаем порцию атак, но благо пока мелких, просто в ближайших планах 2-4 месяца запустить проект другой и там будем ловить более серьёзные «подачки»
SSL — пока не было потребности.
Тогда однозначно нужно рассматривать + сервис от оператора, а как минимум договариваться о включении FlowSpec. Ваши ресурсы конечны, как по каналам, так и по фильтрам. Вы не сможете масштабироваться с той же скоростью, с какой увеличивается полоса атак. Начальные затраты на решение для 10G будет варьироваться в районе 10млн.руб, поэтому выбивать бюджет на апгрейд в последующие годы будет не просто, да и не обосновано, а вы должны мыслить стратегически.
По выбору железа могу сказать следующее: Radware однозначно будет дешевле, но его имеет смысл брать если ставите в inline. В остальном, какое решение лучше именно для вас, проще будет понять на тестах, тем более, как вы сказали ежедневно получаете «материал» для тестирования.
Думаю 0din вёл речь про емкость атаки, которая может превысить емкость каналов довольно быстро.
Насчет Radware DP VS Arbor Pravail. Сильная сторона радваре — application level атаки и поведенческий анализ. Слабая (на мой взгляд) — удобство использования и легкость освоения, а так же не лучшим образом девайс информирует о статусе и подробностях атаки. Защищает хорошо, а вот красноречиво и подробно рассказать об этом — не может.
Pravail хорош потенциальной связкой с провайдерским PeakFlow, если у провайдера он есть. Ну и консоль/отчетность хороши, даже русский вариант есть (если это можно считать преимуществом)
1.ну у верхних провайдеров PeakFlow нет, но то, что умеет хорошо отчеты делать — это как бы хорошо, потому как у верхнего руководства всегда запросы в графиках и цифрах… что было и сколько было, почему и т.д. т.п. Бывает что убиваешь много времени на генерацию отчетов и т.д. т.п.
2. спасибо :)
Ну, на уровне «для верхнего руководства» как раз радваре хорошо отчитается. А вот технические тонкости и детали из него высосать сложнее. «Успешно отбиваю атаку, сэр! Характеристики атаки такие-то! Сорцы, дестинейшоны, тип атаки» И все.
Стоит начать с поста автора QRATOR, публиковавшейся тут примерно с месяц назад, там много интересных сведений по теме.
По моему вот этот текст: habrahabr.ru/company/xakep/blog/158945/
Лет пять назад очень хорошо работала железяка от компании toplayer, теперь это другая компания, которая работает в этой же сфере www.corero.com/.
Пользоваться было крайне удобно, 99% атак отбивались в автоматическом режиме. Единственным недостатком для Вас вижу отсутствие представительства в СНГ, то есть общаться прийдется на английском…
Простой
Сложный
Простой
