АЛОХА PITY HUMANS!
Хочу попробовать себя на карьерном поприще, добить свой CCIE:SP и открыть маленькую контору по защите трафика от ДДОС и прочих пакостей для клиентов разных типов.
Что-то типа http://qrator.net и http://highloadlab.ru…
Может есть кто-то сильный в этой сфере или хозяева этих сервисов и хочет поделиться/поумничать по теме как может выглядеть подобная инфраструктура, ее ньюансы и прочее?
спасибо пожалуйста

размер 500x306, 71.67 kb

Tagged with →  

30 Responses to Своя контора по по защите трафика от ДДОС

  1. Gibno:

    Начнем с того, что куратор и хайлоадлаб — это одно и то же.

  2. Nikodin:

    x-one: классно

  3. DroMilk:

    Я мельком видел только арбор и периметр. По поводу второго — сложилось впечатление, что группа толковых программистов может написать продукт с аналогичным функционалом сильно дешевле.

  4. DroMilk:

    А по схеме — я в этом понимаю слабо, но, вероятно, схема одна и та же — ставятся коллекторы netflow, при начале атаки проблемные ресурсы анонсятся через чистилку как мор-специфики, например.

  5. Gibno:

    нетфлоу? Нет пути. Никакую мало-мальски приличную защиту от ДДоС на информации, поступающей от netflow не построишь. Только полный анализ трафика L1-L7.

  6. DSLPhone:

    Могу сказать только то, что спрос есть. Живем как на пороховой бочке.
    3 Gb/s полоса стоит около 5.000$, мудаками ротируются десятки серверов у какого-либо крупного провайдера с негарантированным каналом 1Гб/с и хоть стреляйся. Или втупую по UDP заливают трафик с ботнета на ns1.

    Ну и что тут сделаешь — за арбор ДЦ просит столько же сколько за канал. А время идет.
    Если сможете сделать возможность не предоставления своего IP, а анонса автономной сети и выгрузку чистого трафика туннелем за вменяемые деньги это было бы очень хорошо. Будет рынок, конкуренция — будет адекватная цена за отражения атаки. Делай да побыстрее!

  7. DSLPhone:

    Вместо фильмов ужасов я иногда перед сном эту статью перечитываю.
    http://blogerator.ru/page/ddos-v-100-gbi

  8. DSLPhone:

    Ну и напоследок, если Вы умеете (или знаете кто умеет) найти исполнителя атаки — пост. Из-за детских шалостей и атаки на всю подсеть одного моего знакомого каким-то мудаком получились 8-значные финансовые потери.

  9. Gibno:

    никто не умеет находить исполнителя. Сегодня, увы, это не школоло, которое вставит в код бота свои ФИО, фоточку и домашний адрес ради славы. Тут конкретные деньги и анонимность на высоте. Кстати, именно это является одним из аргументов радетелей за деанонимизацию доступа в Интернет, продвигающих контроль за интернетом и типа всяких интернет-паспортов.

  10. DroMilk:

    Arbor — Netflow для детектирования начала атаки. Защита №1 в мире, насколько я знаю.

  11. DroMilk:

    Анализ нужен для очистки. Но чтобы не гнать трафик через чистилку, когда аномалий нет, что несколько дорого и не очень удобно на операторской сети и нужен вариант с BGP-offramp. Именно для определения момента того, что проблемы возникли и пора анонсить защищаемый объект с чистилки, именно для этого и используется нетфлоу.

  12. Gibno:

    довольно «дубовая» защита, хочу тебе сказать. От простых, но мощных флудов. За много мегабаксов, операторский класс, без излишеств и особых мозгов. Пытаются выйти на корпорейт/end-user сегмент со своим Pravail, но пока он функционально сииильно уступает даже Радверу.

  13. Gibno:

    в том-то и беда, что для качественной очистки (особенно для коварных application-level ddos) нужно всё время пропускать трафик через девайс. Особенно, если время реакции тоже критично, например в случае с биржами и торговыми площадками, где время жизни лота может быть 10 минут, атака тоже будет длиться 10. Делается минимальная ставка, дальше досим недолго, выигрываем торги. Вигода! Пока «операторские» решения раскачются — уже останавливать нечего.

  14. DroMilk:

    Понял проблему. Такого вообще никогда не видел. У меня как-то application-level ассоциируется с Imperva, но я во всем этом не спец.

  15. Gibno:

    Imperva — совсем другое. В случае DDoS они станут bottleneck’ом, как раз таки, как и IPS, например. WAF’ы — это некая помесь IPS и L7-proxy, призваны защитить от злобного и хитрого хакера-шпиона, тщательно пресекая все его поползновения, а не от массированной атаки на поисковый движок портала или просто вагона ботов, которые успешно имитируют легитимных юзеров, просто кликая по ссылкам.

  16. DroMilk:

    А если комбинировать, например так:
    арбор — защищает сеть оператора и отбивает самые массированные атаки, радварь — защищает особо уязвимых ВИП-клиентов и имперва стоит в конце всего этого безопасного безобразия и защищает особо дорогие и важные ресурсы от дыр и корявых рук? Правда, сумму на подобную инфраструктуру мне страшно себе даже представить.

  17. NahaTa:

    ))) это еще цветочки — подождем пока Google Fiber расползется по Штатам с их 100gps FTTH ))) там то ли еще будет — и ддосы в терабайты и веселушки на фоне глобальных блэкаутов 80% интернетов.

  18. NahaTa:

    на радостях добавил два нуля.. 1gps FTFH

  19. EldSwet:

    Чего-то у них на сайте не обнаружил вакансий. Или к ним попасть нельзя, они сами зовут?

  20. DSLPhone:

    А что в этом такого? Я знаю компании, в которых стафф по 5 лет не меняется. Сидят себе работают потихоньку, кто в офисе кто дома.

    Также компания может внедряет ключевой инструмент, а коней на переправе не меняют. Проще в 1.5-2 раза повысить з/п текущим.

  21. EldSwet:

    Да я не претензию. Я хотел посмотреть, кто им нужен и по каким требованиям, только и всего.

  22. Gibno:

    примерно так и делают правильные пацаны.

  23. Gibno:

    я тут как раз один небольшой проект доделываю, там 6 слоев:
    1) DDoS — защита
    2) Внешний FW с инспекцией протоколов
    3) Мощная IPS с кастомными сигнатурами
    4) Внутренний межсегментный FW
    5) WAF
    6) DBF

    Операторскую услогу по защите от DDoS пока не рассматривали в данном проекте, но она имеется у обоих провайдеров, в случае глобальной жопы подключить ее на весь сегмент не составит большого труда, благо AS своя.

  24. DroMilk:

    Кто же за всю эту радость готов платить? Ростелек с электронным правительством или какие-нибудь биржевые товарищи?

  25. Gibno:

    да много кто. Подобные проекты я делал и для банков (в частности, для ДБО), для госпорталов, для промышленников/энергетиков и для прочих, кому таки важен эшелонированный подход к безопасности.
    Кстати, забыл написать про 7-й слой. Вся эта радость еще как правило «накрыта» колпаком из SIEM, т.е. грубо говоря, это не шесть обособленных кусков, а единая система по обеспечению безопасности. 8-м, пронизывающим элементом, является система оценки состояния уязвимостей всех компонент, также интегрированная в SIEM, для обеспечения актуальности и полноты картины.

  26. Gibno:

    как правило, да, он самый. Но сейчас и IBM, купив в прошлом году компанию Q1 Labs, бодро продвигает QRadar. Весьма неплохой продукт, бывает его используем.
    Иногда также Symantec SIM.

  27. Reibad:

    они сами вон чо пишут:
    На данный момент в нашей компании работает 12 человек. В нетехнический штат входят восемь инженеров и четыре других сотрудника. Двое из них внештатники из Москвы. В начале года, если всё пойдет хорошо, мы хотим пригласить в компанию еще двух инженеров. Так же как и Яндекс, мы ищем математиков, которые могут программировать, работать с данными (структурированным и плохо структурированными).

  28. EldSwet:

    Жаль, что я не математик.

Добавить комментарий