throughtheether

Я считаю, что перед тем, как покупать новые устройства, крайне желательно оптимизировать инфраструктуру с целью повышения ее надежности. Поэтому в комментарии коснусь и других тем, не только анти-DDoS решений.

Есть несколько десятков серверов в двух стойках к которым в сумме подведено около 10 Gbps

Что значит около 10 Гбит/с? Используются 10-гигабитные линки или агрегация из нескольких гигабитных? По некоторым соображениям первый вариант предпочтительнее.

Периодически «приходят» атаки в несколько гигабит или более и забиваю канал.

Интенсивность трафика вам известна откуда? Необходимо понимать, что если мусорный трафик представляет собой UDP или сегменты TCP без установления сессии, то вполне возможна такая ситуация, когда к вашему провайдеру приходит 10-20 гигабит/c адресованного вам трафика, а до вас доходит лишь его часть. Если есть возможность, запросите статистику (данные netflow) хостинг-провайдера.

Хотим сделать схему с защитой с помощью сетевого оборудования Cisco (или какого-либо другого) внутри ДЦ, чтобы не пользоваться данным внешним сервисом и не менять IP.

Касательно оборудования Cisco. Было у Cisco Systems решение Clean Pipes, предназначенное для противодействия DDoS-атакам. Состояло из двух компонент - детектора аномалий (Cisco Traffic Anomaly Detector, использовалось опционально) и собственно фильтрующего устройства (Cisco Anomaly Guard). Оба устройства имеют статус End-of-life. Далее совместно с Arbor Networks была разработана архитектура Clean Pipes 2.0, где, насколько мне известно, основную работу выполняло устройство Arbor Peakflow TMS (threat management solution). О существовании современного устройства под брендом Cisco Systems, разработанного для противодействия DDoS-атакам, мне неизвестно.

Подскажите, пожалуйста, возможно ли это и, если да, то в какую сторону копать?

Во-первых, определитесь, зачем вам это. Если мусорный трафик на клиента приводит к недоступности вашей сети (т.е. к полной утилизации линка), то это одно. В таком случае вам поможет BGP blackhole (RTBH, remotely triggered blackhole filtering), отбрасывая весь трафик до клиента. Эффективно клиентский хост будет недоступен (т.е. DoS-атака удалась, отказ в обслуживании достигнут), но мусорный трафик будет отброшен на оборудовании провайдера, не влияя на работоспособность вашей сети. На мой взгляд, иметь настроенный RTBH необходимо. Для этого можно использовать, например, программный BGP клиент, вроде exabgp или quagga.

Если вы планируете фильтровать клиентский трафик (т.е. отбрасывать мусорный и пропускать "полезный", что бы это ни значило), то RTBH не подойдет. Возможные варианты (с которыми я работал либо работу которых наблюдал) аппаратных решений - грамотно настроенный сервер под Linux/*BSD с картами Intel (дешево, гибко, множество нюансов), Juniper SRX подходящей мощности (дорого, от некоторых атак вполне защищает, но, на мой взгляд, специализированное решение предпочтительнее), Arbor Peakflow TMS (дорого, красивый интерфейс, в целом понравилась работа с ним), Периметр от МФИ-Софт (работает, но не без нюансов).

Кроме самого устройства или внешнего сервиса, как я уже упоминал, следует, на мой взгляд, удостовериться, что:
1) сеть находится под всесторонним мониторингом
2) имеется либо отдельная (management) сеть для управления, либо настройки QoS на линках, резервирующие полосу для трафика систем управления.
3) настроена защита CPU сетевых устройств (Control plane protection policy в cisco-мире)
4) отсутствуют другие узкие места (например, ECMP в том или ином виде, агрегация двух линков в 1 гигабит/c не во всех случаях дает пропускную способность в 2 гигабита/с)

Подводя итог, скажу, что проблема устойчивости работы сети в целом и защиты от DDoS-атак в частности - комплексная, и решать ее стоит соответственно.

Вот и хотелось бы спросить опытных людей, что делать в такой ситуации?

Делать надо было раньше. Готовить внятный мониторинг, чтобы не гадать, атака это или сервер не справляется с нагрузкой. Налаживать контакты с хостером, чтобы не гадать, реально ли наблюдается атака или это тонкий намек на то, что вам пора арендовать более мощный VPS. Я не понимаю, почему, когда чуть ли не в газетах о DDoS-атаках пишут, единицы из тех, чье финансовое благополучие напрямую зависит от доступности их сайта, примеряют ситуацию на себя и задумываются о технических аспектах безопасности.

Три дня назад сайт стал выдавать 504, 500 и т.д. ошибки.

Очень хорошо, что сервер отвечает статусами 504 и 500. Это значит, что он отвечает. Это значит, что канальная емкость не полностью утилизирована. Это значит, что, скорее всего, есть шанс обойтись оптимизацией непосредственно на сервере. Найдите грамотного серверного администратора, согласного вам помочь.

Хостинг сказал, что на наш сервер идет ddos-атака и они делают все возможное чтобы решить проблему.

На вашем месте я бы запросил краткий отчет от сотрудников хостера. Какая атака наблюдается (качественные, количественные характеристики), какие меры предприняты, что из этого вышло. Запросил бы дамп "вредоносного" трафика.

каким образом все таки правильно хотя бы временно запустить сайт в работу?

На вашем месте я бы собрал на коленке минималистичный статический сайт с описанием ваших товаров и контактными данными. Вы таким образом сможете неудобно, без формы обратной связи и всплывающего окна чатика с консультантом, но все-таки получать заказы.
Вы можете разместить его на своем сервере, это, на мой взгляд, самый прямой путь. Вы можете разместить его где-то на другом хостинге, но придется ждать обновления DNS-записей и прочая.

что делать в такой ситуации?

Самое главное - сделать из этой ситуации выводы и предпринять соответствующие меры в ближайшем будущем.

В результате сайт полег от атаки через пару часов.

Вы уверены, что это именно целенаправленная атака? Исходя из каких данных вы делаете такой вывод? В моем опыте были пациенты, у которых сервер генерировал главную страничку при помощи SQL-запроса с множеством операторов join, с полным отсутствием кэширования, со специфической конфигурацией (nginx на windows). Сайт переставал работать при 30 одновременных клиентах. Естественно, внешние мероприятия по фильтрации трафика могли гарантировать работоспособность сервера только при условии его доступности узкому кругу веб-клиентов. Как правило, объяснить это таким людям было затруднительно.

Я вчера подключила couldflare, не знаю поможет ли это при уже идущей атаке

Может помочь. Но, насколько мне известно, можно узнать ip-адрес, на который cloudflare переадресовывает трафик, и соответственно направить атаку. Соответственно, нужны дополнительные меры защиты на вашем хостинге (запретить входящий трафик, кроме перенаправляемого с cloudflare)

Атака http - флуд. Есть ли какие-то еще способы защиты?

Я как сетевик выскажу свое мнение (стоит учитывать проф. деформацию личности). Я полагаю, что говорить о дополнительных мерах защиты (аппаратные решения и прочая) имеет смысл только если входящий трафик на сервер составляет значительную долю (50-60%) пропускной способности интерфейса. Я полагаю, что сервер, в идеале, должен выдерживать line-rate объем трафика, то есть объем трафика, полностью утилизирующего пропускную способность сетевого интерфейса. И только исчерпав возможности оптимизации сервера, имеет смысл обращаться к внешним решениям. Незрелая оптимизация в данном случае, я полагаю, вредна. Однако, учитывая наличие сервисов вроде cloudflare, использовать их в ряде случаев (вроде вашего) полезно.

Слышала о каких-то фаерволах, плагинах для wordpress (сайт на нем стоит

Если много запросов из нецелевых стран, что бывает при покупке вероятным злоумышленником дешевого ботнета, то можете попробовать фильтровать клиентов по странам, используя базы geoIP. Но будьте готовы к ошибкам определения. Также стоит задуматься о настройках кэширования.

Дорогой хостинг пока нет возможности купить...

У вас используется shared-хостинг? Если да, то задумайтесь о покупке VPS, настроив кэширование при помощи cloudflare. Это даст вам гибкость настроек. Хотя в редких случаях shared-хостинг может быть более устойчив к некоторым атакам, нежели дешевый VPS.

Вкратце - вы сделали что могли (подключили сервис cloudflare). Для дальнейшей настройки необходимо понимать многие нюансы работы вашего сайта. DDoS-атаки в вашем случае может и не наличествовать. Вам стоит задуматься об организации грамотной поддержки вашего сайта (нанять системного администратора или самостоятельно углубиться в этом направлении).

Вы упомянули что некую "защиту от DDoS" вам предоставляет хостер (можете кстати уточнить модель аппаратного решения?). Если предположить, что ваши сервисы используют UDP (что, думаю, корректно для случая с CS-подобными игровыми серверами без дополнительных оберток трафика), то мысли такие.

Я полагаю, что максимум, что хостер может сделать - это ограничить трафик до сервера при DDoS-атаках (policing, причем хорошо, если политики учитывают порты назначения, а не только IP-адреса) или полностью заблокировать трафик до одного сервера, спасая инфраструктуру от чрезмерного трафика (bgp blackhole к аплинкам, эффективно атакуемый сервер все равно будет недоступен).

При использовании UDP возникает проблема аутентификации трафика. При использовании TCP есть возможность отделить тех, кто действительно устанавливает соединение, от тех, кто шлет SYN-сегменты с подставными адресами - вторые не смогут ответить ACK-сегментом с правильным значением acknowledgement на наш SYN-ACK-сегмент (ну или есть варианты с специально сформированным кривым SYN-ACK ответом, легитимный хост ответит RST c правильным acknowledgment и перепошлет SYN через примерно 3 секунды). В случае с UDP мы такой роскоши лишены. Мы не можем средствами самого UDP определить, кто подделывает адреса, а кто является легитимным хостом. Полагаю, неплохим решением было бы вести на сервере список IP-адресов клиентов и каким-либо образом передавать его хостеру, чтобы он в случае атаки блокировал весь трафик, не удовлетворяющий списку. Но хостер не внедрит новомодныя SDN-технологии (программно-определяемые сети) и не даст вам доступ к соответствующему API, это будет довольно затруднительно организовать.

Далее, что касается проксирования трафика. Самый наивный вариант - udp-прокси, т.е. сокет на сервере 1 принимает данные и копирует их в сокет, отправляющий данные на сервер 2. На сервер 2 пакеты, вмещающие соотвествующие датаграммы, придут с полем адреса источника, равном адресу сервера 1. Со стороны сервера 2 будет казаться, что все игроки имеют один и тот же адрес (если не предпринять никаких мер на уровне приложения, например добавлять в датаграммы дополнительный заголовок с адресом). Иногда это недопустимо.

Более внятный вариант - натирование. Примерная схема на иллюстрации.

Подобная схема часто реализуется при балансировке нагрузки при помощи решений вроде F5. Здесь используется Destination NAT пакетов от клиента к серверу и Source NAT пакетов от сервера к клиенту. Весь трафик от S2 надо будет направить через S1, это может потребовать поднятия какого-либо (например, GRE) туннеля. Также необходимо учесть, что IP-адреса могут использоваться внутри L7-протокола (наиболее известный случай - FTP), это может поднять новые вопросы.

Вообще говоря, ваша задача - широкое минное поле для экспериментов.