Больше, чем защита от DDOS

    Привет всем!

    На сайты наших пользователей, да и на наши сервисы, постоянно идут DDOS атаки. Всё это время мы в полуручном режиме работаем по каждой проблеме, но атаки становятся всё сложнее и чаще, и для дальнейшего отражения атак нужна артиллерия другого уровня.

    За последний год мы детально изучили вопрос средств защиты от DDOS атак. Этот пост о том, как мы искали надёжное, эффективное и удобное решение “из коробки”.





    Как и все любознательные люди — мы начали с изучения рынка существующих устройств защиты. Мы выбрали основных, самых известных производителей:





    Как мы выбирали

    Мы не магистральные провайдеры и тратить время, копаясь в сотнях параметров защиты от DDOS нам не хотелось, поэтому одним из важнейших качеств была простота в настройке и управлении.

    Кроме того, нам необходимо высокое качество фильтрации. Не нужно говорить, что от этого напрямую зависит качество работы сайтов, ну и вообще — это основная задача устройства.

    Мы связались с представителями компаний разработчиков в России, описали свои задачи и запросили тестовые образцы. Проблем с «нужным» трафиком у нас нет — к нам каждый день «приходит» DDOS в том или ином виде.



    Arbor — это первое на что мы обратили свое внимание. В начале года на одной из международных конференций, мы получили заряд маркетинговых данных на их секции. На первый взгляд всё выглядело слишком красиво =), посмотрим что будет дальше.

    Как раз в это время у них появился продукт Pravail для корпоративного сегмента (до этого была только Peakflow для провайдеров магистрального уровня). Это было именно то, что нужно нам.

    В апреле к нам приехал Кирилл Касавченко, который работает с клиентами в EMEA, показал нам Peakflow в действии (что усилило наше мнение об избыточности системы для нас), рассказал много интересного о DDOS атаках и мы расстались в ожидании теста Pravail'a.



    Через месяца два он приехал! По сути, это 2U шасси Intel с хитрыми болтами, любопытно конечно, но ломать ничего не будем.

    Сразу отвезли в ЦОД, прикрутили, подключили, подняли IP и все заработало. В нашей системе есть сервер (Protos), где мы защищаем пользователей от атак своими методами, там всегда есть паразитный трафик, точнее был, до того, как мы не пустили весь трафик сервера через Pravail. Работает!

    Для защиты систем создаются группы, к которым применяются соответствующие правила и все. Остается только следить за графиками. Есть типовая настройка и немного более детальная, но как правило — для работы достаточно базовых значений. Мы тестировали его работу на одном из наших DNS серверов, на MX и конечно вебе. Мы были удовлетворены его работой по всем сервисам.

    Пожалуй самый главный минус — это цена. Pravail дорогой, Peakflow — космически дорогой (почти как Curiosity=).



    Система, которую нам прислали состояла из трех устройств: ADS 6000 (собственно сам модуль защиты), ADS-M1600 (устройство управления) и NTA-2000 (анализатор).

    Вместе с тремя устройствами приехало три человека из Китая и два из Москвы (не переводчики). Тут начали закрадываться первые подозрения.

    Мы встретились у ЦОДа утром 16 мая, обменялись приветствиями и пошли делать инсталл оборудования. Перед установкой — состоялся краткий митинг, где мы нарисовали схему подключения, договорились о деталях и пошли в зал.

    Для начала решили сделать обычную простую схему защиты, ничего особенного:



    Через три часа напряженной работы у наших друзей из-за Великой стены начали садиться батарейки, а зарядка оказалась одна на троих. Еще через два часа они подключили своего коллегу «оттуда» и наших гостей стало шестеро.

    В итоге, часов через 6 после различных манипуляций с оптическими модулями (у них все с собой=) и перепрошивок железа разными прошивками, лампочки замигали как надо и схема таки поднялась. Смущал только китайский флаг на лицевой стороне корпусов. Но на фоне первой победы — эти мысли отошли.

    Ура. В офис, донастраивать и радоваться результатам!

    В офисе. Пришло время знакомства с интерфейсом лицом к лицу. Отстой. Некоторые окна с текстом на китайском. Графики ужасны. Через полчаса уже хотелось все закончить, но из уважения (солидарности?) мы внимательно изучали все аспекты этой системы. До анализа трафика дело так и не дошло. Тоже опыт.

    Первое впечатление — самое важное, мы это понимаем — они видимо нет.

    Улыбка ужаса радости на моем лице — все будет хорошо!


    Честно, я не понимаю, почему он так на меня смотрит, голодный может.

    На следующий день мы сняли все оборудование и отправили обратно.



    Периметр к нам приехал в виде сервера HP 1U на двух оптеронах, стыдно честно сказать — мы даже не смогли разобраться в его интерфейсе, поэтому более-менее развернутого рассказа не получится. По слухам — переписанный «нашими» программистами Peakflow, еще его используют в РТ.



    Нам прислали достаточно мощный аппарат DefensePro 12412 (сравнения тут).



    Он настолько суров, что мы даже не смогли предположить — что же такое там внутри. Установка и подключение к нашей системе пошли без проблем.

    Для управления устройством необходимо развернуть виртуальную машину на VMWare, через которую осуществляется доступ. На момент тестирования возможность работать с аппаратом была только через Java-клиента (APsolute Vision).

    Вроде все нормально, но когда мы начали разбираться с его интерфейсом — нам стало плохо =) И дело даже не в количестве настроек, коих в силу функций и назначения аппарата оказалось очень много — дело в скорости работы интерфейса управления. Он оказался ооооочень медленным. При переходе между разделами можно было налить себе кофе, потом кофе стало много.

    Кроме того, интерфейс постоянно отваливался по каким-то мифическим таймаутам и, к сожалению, оказался совсем не красивым. Даже прибывшие нам на подмогу специалисты из Москвы и Тель-Авива удивлялись тормозам «нашей» системы, сошлись на том, что ее надо обновить и у нас «не тот» образ VMWare, но особого значения это уже не имело.

    Заключение

    Мы не будем говорить о том, что хуже или лучше, для себя мы решение приняли. А выводы делать только вам.
    Метки:
    Timeweb 36,21
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 29
    • –9
      Спасибо, что заботитесь о нас! Поэтому и пользуюсь вашими услугами :-)
      • –5
        Иван, спасибо за отклик!
        Мы просто любим свою работу =)
        • –4
          Никто не любит тех, кто любит свою работу! =)
      • +1
        А как вы собираетесь монетезировать железо и какой заложили срок амортизации?
        • –2
          Мы будем открывать услугу по защите для наших клиентов.
          Амортизация — сложный вопрос, все будет зависеть от развития ddos'a.
          • +1
            У вас есть понимание того, что произошло с DDoS'ом за этот год?
            • 0
              Конечно, и ваши статьи мы тоже читаем =)
            • 0
              Когда планируете открывать такую услугу?
          • +5
            Результат ожидаемый. Вы пытались сравнивать оборудование класса Enterprise (Arbor Pravail, Radware DefensePro) и Service Provider(МФИ Софт «Периметр», NSFOCUS). Например, настройки того же Arbor Peakflow SP ничем не отличаются от МФИ Софт «Периметр» и что же взглянув на интерфейс вы бы сделали такие же выводы? После инсталляции железа, в дальнейшем Вам бы пришлось крутить только контрмеры во время DDoS, а о других настройках можно было бы забыть. По удобству интерфейса Radware полностью согласен. Ну а Pravail подкупает конечно же красотой интерфейса, на что многие заказчики и ведутся, не особо вдаваясь в функционал и возможности, тестирую железо на сетевом флуде или на тупых High Rate http флудах.
            • –1
              Прежде всего мы сравниваем качество фильтрации и удобство работы. Из всего, о чем мы говорим — только Pravail относится к Enterprise, остальные продукты разработчики позиционируют, как для провайдеров.

              Тестовый образец Периметра, который к нам приезжал был рассчитан на очистку до 2Гбит. Устройства до 10Гбит тоже на базе серверов HP, на таком сервере даже netflow сложно правильно анализировать на наших объемах. Старшие же версии Peakflow имеют спец. контроллеры. Мы видели интерфейс Периметра (на русском) и Peakflow, последний гораздо легче «осилить», может быть дело в терминах, которые используются в русском варианте, не знаю =)
              Отдельно предлагались пуско-наладочные работы и обучение. Почему не сделать понятный и красивый интерфейс сразу?

              Мы тестировали все в боевых условиях, иначе, в чем смысл-то.

              • +4
                Radware — это все же Enterprise и DC решение, несмотря на то, что и SP его можно назвать, но с ОЧЕНЬ большой натяжкой, т.к. inline решения уж слишком ограничены при внедрении в топологию сети оператора, а заявленый Out-of-Path лишает части функционала и требует опять же извращений с маршрутизацией, либо редиректом трафика. Все потому что изначально архитектура решения была заточена под корпоратов, отсюда и ограниченное число серверных и сетевых политик.

                Замечание по поводу сервера HP вообще не имеют место, похоже вы не разобрались в сути. Если говорить об «Анализаторе», то это вполне нормально, что он является обычным промышленным сервером и то что там стоят оптероны тоже вполне нормально, т.к. он решается задачи по сбору информации по Flow,SNMP, BGP и для этого не требуются специализированные процессоры. Собственно CP/FS/BI/PI у арбора это такие же обычные сервера, но покрашенные дорогой краской и стоит там либо Linux, либо в версиях постарее OpenBSD, на Intel CPU. Если говорить о топовых устройства фильтрации, то и Arbor и у МФИ это специализированные сетевые процессоры, у МФИ — Tilera (NSFOCUS тоже их использует), а сервер HP служит лишь базой для его установки. Про ваши объемы flow преувеличиваете, либо озвучьте цифру.

                Вообще, мне ваш выбор импонирует, просто суть статьи совсем не понятна, т.к. ожидал увидеть сравнение в разрезе основного функционала, а пишите о том, что не смогли устройство настроить, либо как в случае с Radware — не понравился интерфейс, но ни слова о том, как же он фильтровал вредоносный трафик, тем более интересно, что трафик не синтетический.

                Кстати, CloudSignaling собираетесь задействовать?

                P.S. Не пытаюсь принизить или возвысить кого-либо из вендоров, каждый из них в чем-то хорош и имеет сви killer фичи, но в тоже время каждый из них не является серебряной пулей. Желаю успехов при дальнейшей эксплуатации. И будет очень интересно почитать, какие у вас ощущения от работы с железом спустя несколько месяцев.
                • 0
                  Radware так позиционирует сам разработчик, начиная еще с x016 серии. Насколько он хорош в этом — надо проверять.

                  Замечание по поводу сервера HP вообще не имеют место


                  Я не говорю о том, что Периметр плохо или хорошо фильтрует, я говорю о том, что он нам не подходит по определенным причинам. И те спецификации, что были нам предоставлены говорят о том, что фильтрация до 10Гбит включительно происходит на сервере HP, такое возможно? =)

                  В нашей статье мы рассказали о доступных устройствах для работы с ddos и выразили свое мнение по каждому из них.
                  Детальный обзор устройства, которое мы выбрали для работы будет, но позже. Действительно должно пройти время (хотя бы на сбор информации).

                  Кстати, CloudSignaling собираетесь задействовать?


                  Конечно.

                  P.S.


                  Очевидно, что 100% решения защиты от ddos (как и от спама) атак нет, но есть средства, которые действительно помогают а есть «плацебо».

                  Спасибо!
                  • 0
                    :)
                    10Гбит включительно происходит на сервере HP, такое возможно


                    Если разрабы будут писать морду то конечно нет, а вот если займутся фильтрацией. То почему бы нет. Лишь бы 10G в сетевой интерфейс пролезли. За 10G с одного провода, не скажу но 9 с хвостиком — пожалуйста.

                    • 0
                      18Mpps ;)?
                      Неплохие у HP сервачки…
                      • 0
                        Хотя наверное 1U это DL165G7… может и не снимется… И не только в сервачках дело.
                • 0
                  Интерфейс на русском — зло, с этим пунктом я всегда согласен…
              • +1
                Пожалуй самый главный минус — это цена. Pravail дорогой, Peakflow — космически дорогой

                Pravail и PeakFlow отличаются по функционалу. Для работы Pravail весь входящий трафик должен идти через него. Если у вас 1 uplink, 1 точка присутствия, или же нет желания защищать свою инфраструктуру, то он может подойти. Ваша AS9123 подключена к нескольким аплинкам, т.о. вряд ли вы будете использовать Pravail для защиты своей инфраструктуры. Но, из поста я сделал вывод, что вы выбрали именно его.

                мы даже не смогли разобраться в его интерфейсе, поэтому более-менее развернутого рассказа не получится. По слухам — переписанный «нашими» программистами Peakflow, еще его используют в РТ.

                Интерфейс у «Периметр» тоже скопированный с Arbor PeakFlow. Видимо, последний вы не тестировали.
                • 0
                  Pravail и PeakFlow отличаются по функционалу.


                  Мы прекрасно понимаем в чем разница между Pravail и Peakflow. Мы не будем постоянно пропускать весь трафик через это устройство, так как считаем это не правильным (с точки зрения отказоустойчивости, даже несмотря на байпас).

                  Видимо, последний вы не тестировали.


                  Видели его, он красивый =) А Периметр — ужасен. И они различаются аппаратно, сравнивать их некорректно.
                • +1
                  Коллеги, спасибо за интересный сравнительный обзор. Можно было. конечно, и подробнее, и насыщеннее технически. Однако, учитывая что в публичном доступе подобных материалов практически нет — статья бесценна ;)
                  • 0
                    Информации, подобной той, что в статье, в публичном доступе достаточно. Особенно «не понравился интерфейс», или «стоят как космолёт». Китайцы, так вообще везде одинаковые. Те, что из Huawei, ведут себя точно так же.

                    Комментарии же 0din бесценны.
                    • 0
                      Возможно, для специалистов, которые посвятили всю свою сознательную жизнь работе с ddos'ом наша статься кажется не очень интересной, в этом нет ничего страшного.

                      Зато тем, перед кем стоит вопрос о выборе средств для защиты своих «предприятий» будет понятно хотя бы — куда смотреть.

                      Да и «бесценных» комментариев 0din'a не было бы без нашего поста. Наслаждайтесь =)
                      • 0
                        Для тех, кто никогда не встречался с DDoS, IMHO, пригодился бы список тех, кто оказывает услуги по защите. Этот список был бы из 20 пунктов минимум. В сравнениях по такому количеству пунктов просто фразами «стоит, как самолет» и «интерфейс не понравился» не отделаться.
                      • 0
                        статьи 0dina еще более бесценны, но к сожалению есть ряд причин по которым они никогда не будут публичны.
                    • 0
                      От лица МФИ Софт благодарю за поднятую тему, очень интересно услышать мнения пользователей и профессионалов о нашем и других продуктах для защиты от DDoS. Это очень ценно для развития продукта.
                      P.S. и наши маркетологи сегодня порадовались повышенному вниманию со стороны хабровчан )
                      • 0
                        наши маркетологи сегодня порадовались повышенному вниманию со стороны хабровчан

                        Обрадуйте хабровчан! Желательно с geek porn, закулисными историями со статистикой и интерфейсом на английском :)
                        • 0
                          Точно, расскажите про фарш и цены на него!
                      • 0
                        Прошло 1.5 года, вас похоже ДДоСят не по-детски, как в этот раз поступите?

                        У меня лично 6 сайтов под удар попали.
                        • 0
                          У меня, похоже, тоже. Сапорт предъявляет повышенную нагрузку. Прощай, Таймвеб!
                          • 0
                            Отличная защита у вас от ддоса. Сервер с моим сайтом еле работает с 14 августа, потому что кого-то ддосят на этом сервере.
                            Тех. поддержка просто просит подождать и убеждает, что жизнь боль.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое