То есть вы утверждаете, что циска, в нашем примере CRS, когда на него вешаешь ACL, теряет в производительности и «плавиться» при нагрузке более 10Gb/s?
>Ну простите Вы уже придираетесь, тут вопрос доступен ли вообще ресурс будет :)
Безусловно, можно даже всю динамику порубить, а клиенту отвечать что его ресурс вообще то доступен, НО только с гейтвея и может даже из любой точки AS дата центра. ;)
>если атака зальет бордер, то Ваш >ресурс будет недоступен.
>Вывод — вычленить и завернуть траффик, можно даже по /8.
Простите, но каким образом блэкхол на вашем бордере спасет его от заливания или вернее сказать его линк от переполнения в случае однонаправленного трафика?
>А дальше уже разбираться, открывать потихоньку, собирать базу «плохих» и писать/звонить.
Мне кажется клиент будет не в восторге когда ему тех. сап. ответит на вопрос о недоступности его ресурса(при заворачивании даже одной /8) словами:
«Собираем, пишем, звоним»
Вы хотите сказать, что «самолет» типа CRS-а, нагружается на 5% когда маршрутизирует DDos(хотя ему безусловно плевать, на DDos это или нет) менее 10Gb/s?
Заворачивать будете по /32? ;)
Или все префиксы той же КТ? после чего конечно стоит подумать, для какого кол-ва нормальных пользователей стал не доступен ресурс.
Я не представляю себе, каким образом DDos на Ваш бордер можно прекратить позвонив аплинку во вменяемые временные рамки? Вы думаете он будет отключать всех пользователей, адреса которых вы ему предоставите в ту же минуту? (если вообще будет отключать)
Почему только при локальном, представьте себе, что есть провайдер Х, у которого есть подключение к ОПГ, какова возможность вдуть в него 10GB/s из всего ОПГ в 18:00? 100%. А в 6:00? 1000%!
Из-за рубежа скорость безусловно поменьше, но имея распределенную сеть ботов, это тоже, не проблема.
>Это маркетинговые бредни. Сказывается, да еще как.
будет очень любопытно узнать как? например на 65** той же?
>Зато это способ охладить атакуемую железку.
Безусловно, TeliaSonera спит и видит, как бы ей при DDos-e охладить железо клиента Оверсан-Меркурия, нагрузив при этом свое.
«Я вам не скажу за всю Одессу», но у КТ проблем не возникало(по поводу скорости).
Посмотрите хотя бы кол-во участников MSK-IX и кол-во трафика продуваемого через него. По прежнему думаете 10Гб/с = 10% сетевого трафика?
>Вы сами придумали мою «методику», я вообще ничего не сказал)
ну как же: «хе, надо обрубать такие запросы вообще через ядро (iptables т.е.) — чтобы они вообще не доходили до http сервера». Прям руководство к действию.
>2) руками в iptables засовывать — ну что за глупости, блин
безусловно — глупости! но надеюсь вы расскажите, каким автоматизированным способом можно это сделать не подготовленному к DDos админу, администрирующему сайт скорее всего удаленно, и не обладающему хорошими навыками в написании всевозможных скриптов, за вменяемое время.
>Если при этом видно что 90% трафа идёт с Китая — отрубить его целиком, временно — пожалуй, лучший вариант.
Расскажите, пожалуйста, методику определения границ IP сети Китая, так чтобы его можно было отключить целиком? ;)
QOS, ACL не сказываются на производительности нормального железа(не говоря уже о железе за пару лимонов баксов).
Что касается шейпинга и прочего обрезания, то во первых тут вопрос как раз стоит в том, что провайдер сам начинает обрезать, а как вы понимаете это доп. нагрузка, при плавящемся то железе — как минимум не очень верный способ его охладить.
И во вторых, для обрезания циска давно уже пропагандирует отдельную железяку под MSE у которой априори с этим проблем нет.
Ну по вашей методике:
Началась атака с Китая — отрубили Китай, с Японии — отрубили Японию и т.д. Через сутки, например, сервис доступен только из России = для неудачников из Китая, ddos удался — ресурс для них не доступен. Это одна сторона вопроса, вторая:
Думаю все понимают трудоемкость фильтрации хотя бы 5к ботов из разных сетей методом написания правил для iptables по /32 ручками.
Чтобы у нормального провайдера начало «плавиться» железо от нагрузки, нужно купить не один и даже не 2*10Г порта ;)
А с учетом того, что за пару лимонов баксов железо может пропустить через себя сильно больше чем 20Г full duplex, с аплинком вам скорее не повезло.
Чтобы представить DDos больше 10Gb/s, и что для этого нужно — достаточно взглянуть на средний тариф провайдеров домашнего интернета и становится понятно, что это как минимум не очень сложно.
Безусловно, можно даже всю динамику порубить, а клиенту отвечать что его ресурс вообще то доступен, НО только с гейтвея и может даже из любой точки AS дата центра. ;)
>если атака зальет бордер, то Ваш >ресурс будет недоступен.
>Вывод — вычленить и завернуть траффик, можно даже по /8.
Простите, но каким образом блэкхол на вашем бордере спасет его от заливания или вернее сказать его линк от переполнения в случае однонаправленного трафика?
>А дальше уже разбираться, открывать потихоньку, собирать базу «плохих» и писать/звонить.
Мне кажется клиент будет не в восторге когда ему тех. сап. ответит на вопрос о недоступности его ресурса(при заворачивании даже одной /8) словами:
«Собираем, пишем, звоним»
Или все префиксы той же КТ? после чего конечно стоит подумать, для какого кол-ва нормальных пользователей стал не доступен ресурс.
Из-за рубежа скорость безусловно поменьше, но имея распределенную сеть ботов, это тоже, не проблема.
будет очень любопытно узнать как? например на 65** той же?
>Зато это способ охладить атакуемую железку.
Безусловно, TeliaSonera спит и видит, как бы ей при DDos-e охладить железо клиента Оверсан-Меркурия, нагрузив при этом свое.
Посмотрите хотя бы кол-во участников MSK-IX и кол-во трафика продуваемого через него. По прежнему думаете 10Гб/с = 10% сетевого трафика?
пробовали по подобным базам отключить весь Китай? результат удовлетворил?
deny made in china
чувствую как поперла защита :)
ну как же: «хе, надо обрубать такие запросы вообще через ядро (iptables т.е.) — чтобы они вообще не доходили до http сервера». Прям руководство к действию.
>2) руками в iptables засовывать — ну что за глупости, блин
безусловно — глупости! но надеюсь вы расскажите, каким автоматизированным способом можно это сделать не подготовленному к DDos админу, администрирующему сайт скорее всего удаленно, и не обладающему хорошими навыками в написании всевозможных скриптов, за вменяемое время.
>Если при этом видно что 90% трафа идёт с Китая — отрубить его целиком, временно — пожалуй, лучший вариант.
Расскажите, пожалуйста, методику определения границ IP сети Китая, так чтобы его можно было отключить целиком? ;)
Что касается шейпинга и прочего обрезания, то во первых тут вопрос как раз стоит в том, что провайдер сам начинает обрезать, а как вы понимаете это доп. нагрузка, при плавящемся то железе — как минимум не очень верный способ его охладить.
И во вторых, для обрезания циска давно уже пропагандирует отдельную железяку под MSE у которой априори с этим проблем нет.
Началась атака с Китая — отрубили Китай, с Японии — отрубили Японию и т.д. Через сутки, например, сервис доступен только из России = для неудачников из Китая, ddos удался — ресурс для них не доступен. Это одна сторона вопроса, вторая:
Думаю все понимают трудоемкость фильтрации хотя бы 5к ботов из разных сетей методом написания правил для iptables по /32 ручками.
А с учетом того, что за пару лимонов баксов железо может пропустить через себя сильно больше чем 20Г full duplex, с аплинком вам скорее не повезло.
Чтобы представить DDos больше 10Gb/s, и что для этого нужно — достаточно взглянуть на средний тариф провайдеров домашнего интернета и становится понятно, что это как минимум не очень сложно.
скорее чтобы не нагружать каналы внутри сети паразитным трафиком.
имелось ввиду, что маршрутизация не дергает лишний раз RP, а «все» ресурсы направлены на GRE.