Защита от DDOS, автоматическое формирование белых списков?

Question

[jimmi]

Имеется список реальных адресов клиентов обновляющийся каждую 1 минуту, имеется DDOS атака в 10Гбит.



Есть ли какие-то ДЦ, или же провайдеры которые могут запретить любой трафик с любых ip кроме указанных в списке? Запретить именно на входе в ДЦ, чтобы 10Гбит паразитного трафика не залетали в сеть ДЦ. При этом этот список чтобы провайдер тянул каждую минуту.



Заранее спасибо если кто либо может помочь.

Answer 1

[SamOwaR]

У Selectel-а есть управляемый по http фаервол.
blog.selectel.ru/zapusk-uslugi-upravlyaemyj-faervol/
Если белый список вменяемых размеров, и самому рассчитывать дельты между обновлениями, то должно работать очень быстро.

Comments

[jimmi]

10-20к айпишек. Думаю в таких количества будет притормаживать разве что у них что-то вроде ipset.
+ я не вижу у них чтобы была возможность управлять этим фаерволом через апи, прийдеться ручками вбивать его а это не вариант.
+ непонятно где это оборудование стоит, уже в сети или на входе в ДЦ а также непонятно его производительность. Т.е. не факт что 10Гбит какого попало трафика его не положит просто прериваниями.

[SamOwaR]

Описание API доступно только для клиентов. Но вкратце — POST-ишь конфиг в формате JSON. По поводу где и как оно установлено, лучше спросите в их суппорте или блоге. Но вот цена

Защищенный интернет-канал* 150 руб за 1 Мбит/с

пугает. Я правда, не до конца понимаю за что это — за мегабит на порту сервера клиента после фильтрации, или за мегабит вообще всего, что приходит в ДЦ в сторону оборудования клиента.

[jimmi]

За мегабит что идет после фаервола.
Другое дело что у них помоему невозможно добавить 10к айпи не как CIDR а точные.И железки у них слабенькие, до 1Гбита держат. Разве что стоят по парам,… также неизвестно. Оборудование свое не называют, сколько их неизвестно, как стоит также молчат.

[Alexander Tugov]

jimmi, откуда информация? Глупости не пишите. Можно указать большое количество адресов в CIDR нотации (1.1.1.1/32), 10Гбит железо выдержит.

[jimmi]

2fortyseven
пообщавшись с поддержкой и изучив возможности API, подозреваю что там у них стоят все же не SRX 220 стоят, а что-то вроде SRX5600 или же хотя бы 3600. С этого исходит конечно что оборудование выдержит + вроде все же есть возможность добавлять не в CIDR нотации. Поэтому прошу прощение за преждевременные выводы.
К сожалению датацентр не говорит какое оборудование имеют, поэтому только и остается делать необоснованные выводы. Просто мне уже предлагалась похожая услуга, там в ДЦ стояли SRX240 и тоже говорили чтобы все будет держатся. Когда пришло время то, вы сами понимаете, пришлось искать дальше.

>>Можно указать большое количество адресов в CIDR нотации (1.1.1.1/32),
так добавлять адреса думаю только растрата ресурсов ;) хоть вы и правы, так можно.

ЗЫ. Скоро наступит время и я точно смогу сказать сколько они держут а сколько нет ;)

[Alexander Tugov]

2jimmi если не секрет, чем обусловлен такой сценарий использования с белыми списками? Не проще ли блокировать по черному списку большими подсетями во время атаки?

[Sergey]

белый список — мечта любого безопасника. Непревзойденный уровень защиты, высокая точность, небольшие требования к ресурсам, по сравнению с системой черных списков. Но очень уж хлопотное это дело — поддерживать в актуальном состоянии. Если же у автора уже есть автоматическая процедура формирования белого списка — грех не воспользоваться.

[jimmi]

Да, к сожалению пока только selectel предлагает такую возможность защиты как фаервол. У других провайдеров такое не удалось найти. Поэтому хоть белый список и есть но воспользоватся им почти негде(не считая обычного фаервола на сервере)

[jimmi]

Проверено, 600Мбит SYN флуда и весь фаервол лежит )
Он позиционируют себя не как защита от DDOS поэтому их решение не подходит.

Answer 2

[serjs]

Я думаю мало кто даст просто динамически рулить ACLами, более того если трафик в размере 10+ Гбит уже идет, то врядли кому то будет интересно получать столько трафика без его же оплаты чтобы конкретно Вашему серверу или точкке прием информации пускать что-либо из некого списка.

Посмотрите в сторону сервисов защиты от ddos атак, ddos-protection.ru к примеру, рекомендую как их клиент (ну или аналоги), с ACL думаю также сможете договорится, хотя смысла не вижу, считается все равно чистый трафик, вероятность попадания Ваших клиентов в блок крайне низкая.

Comments

[jimmi]

Никто не говорит что этот трафик постоянно идет, в случае его неуспеха он может прекратится и после 10 минут. Нужно просто выдержать пик.

Спасибо за предложение но ддос протекшн, променеджер и т.д. похожие сервис к сожалению это просто развод. Да я не спорю что они защищают от DDOSов определенных и вполне приемлемое решение за свои деньги. Но раз на то пошло то лучше взять напрямую туже аналитическую защиту у оверсана или базовую. Эффект будет тотже а вот по деньгам как минимум в 2 раза дешевле. Ведь они просто ее перепродают. К тому же когда берете напрямую общатся с поддержкой куда легче чем если через посредника ddos-protection или променеджер.
Но тут беда в другом, ни променеджер ни оверсан ни ддоспротекшн не держит ддос в 10Гбит. Скажу даже так, правильный ддос в 300Мбит-1Гбит они также не держат. Поэтому их защита не эффективна. К тому же ложных срабатывания при правильном ддосе иногда доходят до 80 процентов. А это недопустимо. Это я могу утверждать так как пробовал уже все эти защиты. Включая аналитическую защиту оверсана.

Простите, наболело ;)

Answer 3

[faustoFF]

ДЦ "Многобайт" предоставляет нужные вам услуги:

www.mnogobyte.ru/firewall_rules.html
www.mnogobyte.ru/ddos_protect.html

Очень бы хотелось, чтобы другие игроки на рынке, в том числе Selectel, ввели аналогичные услуги.

Answer 4

[jimmi]

Каким образом он будет пролетать это уже другая проблема. Но она решается вытягиванием списка айпи сервером откуда-то еще.
Т.е. провайдер может тянуть список с любого внешнего урла.
Минус блеклиста в том, что до того пока айпи попадет в этот блек лист сервер уже уснет. А это что-то вроде whitelist

Первый раз слышу об IP-Guardian, я так понимаю это нужно будет настраивать тунель между ими и нашим сервером. Что тем самым поднимет пинг к серверу если я живу в Москве, сервер в москве, а тунель в амстердаме. Т, е. IP-Guardian похож на qrator.

Comments

[jimmi]

Этот список генерирует программа которая установлена у каждого клиента. Он отправляет свой айпи(зашифрованный) на определенный сервер где собственно он и добавляется в этот список который в свою очередь доступен по http. Вот оттуда и тянет провайдер.

Answer 5

[Sergey]

Анти ддос-сервис касперского позволяет через API загружать acl. Думаю, с ребятами из qrator тоже можно запросто договориться на эту тему.

Comments

[jimmi]

Не вижу смысла к себе загружать acl, при 10Гбитах канала лежит. Если его будет грузить ДЦ то ситуация тажа, пока сработает защита или определит что трафик паразитный сервер уже ляжет. При изменении профиля атаки сервер опять ляжет. Тут скорее всего нужно расширять канал до нескольких Гбит чтобы была подушка на время пока фильтры соображают что там происходит.
Поэтому и предлагался whitelist чтобы совсем не было ложных срабатываний + никогда не забивался не при каких атаках канал. Данная система подходит исключительно для нашего сервиса, для http сервера конечно такое не подойдет и там уже нужна защита по типу касперского или фильтра какого-то.

А по поводу ребят из qrator так вы правы. Нужно попробовать будет с ними договорится. Хотя тут нужно специальное техническое решение, что не все хотят делать.

[Sergey]

Зачем к себе загружать? Не к себе, а в сервис ддос-защитников, касперу или qrator. Никакого особенного технического рещения не требуется, перечисленные сервисы уже имеют штатный инструмент для взаимодействия с заказчиком с целью получения acl от него.

[jimmi]

Незнал об этом. Тогда нужно будет у них уточнить. Благодарю за ответ.