Comments 30
Лично я даже не удивлен, что самые массивные атаки шли с российских IP-адресов.
Лично я даже не удивлен, что вы акцентировали на этом внимание. А на самом деле, было интересно прочитать о защите от DDoS.
Поддерживаю. Я когда увидел, что пост про защиту от DDoS атак 25.05 во время выборов на Украине, то подумал, что интересно, что несмотря на политическую ситуацию, на хабре всё же стараются быть выше политики и рассуждать с нашей ITшной точки зрения.
Но эта фраза всё испортила.
ТС, если Вы хотите выразить свою политическую позицию, то Вам за этим не на хабр надо писать. Если хотите рассказать интересный пост про защиту от массированных DDoS атак, тогда исключите всю политику и все будут рады. Даже карту распределения атак по миру, я думаю, можно оставить, это факты. А вот ваше мнение и то, что вы не удивлены, это лично ваше мнение и оно не совсем уместно в вашей статье на этом ресурсе.
Но эта фраза всё испортила.
ТС, если Вы хотите выразить свою политическую позицию, то Вам за этим не на хабр надо писать. Если хотите рассказать интересный пост про защиту от массированных DDoS атак, тогда исключите всю политику и все будут рады. Даже карту распределения атак по миру, я думаю, можно оставить, это факты. А вот ваше мнение и то, что вы не удивлены, это лично ваше мнение и оно не совсем уместно в вашей статье на этом ресурсе.
Во всем, достаточно большом, обзоре одно-единственное предложение вы прочитали эмоционально-национально-политически. Это никак не выделенно (ни заголовком, ни как-либо еще), и отнесенно в субъективные аллюзии автора.
sashaboyko, начал читать ваш пост в большим интересом, но это предложение немного испортило впечатление. Я всегда считал Хабрахабр аполитичным ресурсом и читая его, я отдыхаю от всей информационной ереси, которая сейчас присутствует на многих сайтах. И если я вас как-то задел, то приношу извинения.
Да уж славяне, раскидали нас!
Вместо совместного обсуждения технологий бросаемся с претензиями друг на друга!
За материал спасибо!
Вместо совместного обсуждения технологий бросаемся с претензиями друг на друга!
За материал спасибо!
UFO just landed and posted this here
150kpps? и что тут такого?
вы меня простите, конечно, но неплохо было бы вывести Radware в заголовок. залез читать про то, как защититься подручными средствами, а тут описание как готовая железка по мануалу конфигурируется.
Коллеги. Ваша точка зрения вполне понятна: политика политикой, а технологии технологиями. Но, как ни крути, мы не можем отделять одного от другого. Автор в данной статье просто осветил реальную ситуацию. Я более чем уверен, что все это было прогнозируемо.
P.S. Прошу не начинать политический холивор. Голова уже болит от него.
P.S. Прошу не начинать политический холивор. Голова уже болит от него.
UDP пакеты — салом не пахнут, так-же как BGP анонсы водкой.
Начнем с графиков, которые должны были лишить читателя всех сомнений в качестве устройства и прямоте рук администратора. Разница в Inbound и Discarded Inbound говорит о том, что DefencePro больше пропускал чем фильтровал. При том, что трафик любого веб-ресурса характерен бОльшим Outbound чем Inbound, о чем свидельствует последний график показывающий ровно тот момент когда атака закончилась.
SYN Flood Protection
Тут ничего сложного. От SYN флуда спасает Connection Limit.
Настолько вольное трактование документации позволило TC ошибиться более чем полностью. Connection Limit работает в противомере под названием «Connection PPS Limit». А от spoofed syn-flood спасает syn-cookie/safe-reset/tcp-reset. Radware сюда еще притянули [http/js]- redirect.
поправлюсь, ограничение числа сессий настраивается в Connection Limit, а не в Connection PPS Limit, но сути это не меняет, т.к в любом случае это не механизм продиводействия syn-flood
Более того, много тулов для атаки уже умеют эмулировать поведение браузера и могут отвечать на 302-Redirect и js. Radware для этого внедрило механизм Advanced JS, что по последним данным недоступно ни в одной туле для генерации spoofed SYN Flood.
0din, хорошо что еще tarpit в качестве контр-меры против synflood не предложили. Сколковские инновации;)
Из статьи непонятно, со скольки разных IP-ов генерировали атаку…
Вывод про ip адреса = источник атаки достоин эфирного телевидения. Осталось только добавить, что ip адреса Штатов и Франции — это кремлевские хакеры, прикрывающиеся спинами забугорных женщин и детей.
ТС стоит почитать что такое ботнет и как он работает.
ТС стоит почитать что такое ботнет и как он работает.
Все это хорошо, но полезность таких железок проявляется только тогда, когда размер атаки не превосходит пропускную способность вашего канала. В данном случае, трафик был несущественный.
Был ли план что делать, если бы атака превысила 0.5Gbit/s (я так понимаю, такова была пропускная способность канала, по крайней мере из конфигурации)?
Был ли план что делать, если бы атака превысила 0.5Gbit/s (я так понимаю, такова была пропускная способность канала, по крайней мере из конфигурации)?
И к этому мы были готовы. Против такой атаки нас бы спас Radware Defense Pipe. Сервис, который работает следующим образом: от устройства к ближайшему центру чистки строится GRE-тоннель, по которому идет обмен информацией о состоянии загруженности канала. Когда канал забивается «под завязку», центр чистки забират на себя конфиг файл с устройсва и выполняет полную эмуляцию у себя данной железки. Далее, по BGP идет анонс, что теперь центр чистки – это IP-адрес организации и весь траффик заворачивается на центр чистки (с большими каналами и мощностями). В нем трафик чиститься и уже почищенный возвращается в организацию.
Спасибо, было интересно прочитать.
Удивляют хабравчане, которые цепляются за графики и видят там политику. Факт есть факт, автор то тут причем.
Удивляют хабравчане, которые цепляются за графики и видят там политику. Факт есть факт, автор то тут причем.
Sign up to leave a comment.
(25 мая, Киев) Бойцы невидимого фронта или повесть о том, как в сжатые сроки защититься от DDoS-атак c помощью Radware