Хостинги с защитой от DDos? Кто знает?

Статус
В этой теме нельзя размещать новые ответы.
Друзья, на личном опыте имел возможность ощутить ДДОС на своих серверах а ввиду того что я сотрудник ISP компании то в руках имел множество инструментов и так что имеем:

HP 360G 2 проца по 4 ядра.
OS FreeBSD 9.0 x64
fail2ban + IPFW

фронтенд nginx
бекэнд апач 2.2.24

всё началось с того что пришло уведомление с сервака о резком росте лоад авередж
данную нагрузку я получил из за tcpsync атаки в 600 потоков с 600 разных IP (к чести нгинса + апач , сервак не помер ) при этом фаил2бан молчал (со стороны ибо всё это выглядит как резкий наплыв популярности ресурса)

затем число сессий увеличилось в 5 раз при этом апач помер, я получил стабильную ошибку 502 от нгинса, но сервак таки продолжал работать а нгинс отвечать. фаил2бан так же молчал (а чего ему не молчать ведь 5 сессий с 1 ип вполне норм)

мне стало интересно что будет если все эти 600 ип я запихну в фаервол.. что я собственно и сделал , фаил2бан задумался.. (если честно я почти посчитал что сервак таки помер) но через секунд 10 он таки отдуплился и ... "нагрузка спала"

позже до нехороших дядек дошло что их попросту отфаерволили и они сменили тактику.
видимо дяди сменили ботнет ибо на меня прилетел 2 гигабитный поток с более чем 30000 IP адресов, сервак ушел в вечные раздумья о бытие.
Но ради интереса перед сервачком я поставил ASA5520 с активированной защитой от DDoS и случилось "чудо" мало того что сервак отдуплился дак еще и веб сервисы стали ДОСТУПНЫ. Да сервисы работали с некоторой задумчивостью (ASA5520 имела 100% загрузку CPU) но всё же задумчивые сервисы это лучше чем мертвые сервисы.
Ну а фаил2бан показал свою полную бесполезность при защите от ботнетов.

Ах да я к тому что от настоящего ДДОС не спасет ничего, за время моей работы на рынке ISP я видал ДДОСы и по 10 гигабит и по 40 (ложатся все аплинки оператора и можете хоть зафаирволится)

так что лично мое мнение на посты выше... то что fail2ban подходит максимум для защиты от брутфорса а защиту от DDoS стоит переложить таки на специализированное оборудование.

вот так выглядела сия атака на графике с сервака
65591loadaverage.jpg
 
Но ради интереса перед сервачком я поставил ASA5520 с активированной защитой от DDoS и случилось "чудо" мало того что сервак отдуплился дак еще и веб сервисы стали ДОСТУПНЫ.
вы и в правду хотите нас убедить в том, что цисковский фаерволл начального уровня способен фильтровать трафик в 2gbps, при том, что заявленная
Производительность межсетевого экрана CiscoASA 5520 - 450 Мбит/с
да и то, при заявленных 450, если до них трафик поднимется, который будут обрабатывать правила, то учитывая, что железка имеет всего 512mb оперативы - она сложится как карточный домик. к тому же, нет в этих железка такой опции, как "активировать защиту от DDOS", и быт её там не может по определению, потому что это не Cisco Guard. для этой модели есть разве что модуль расширения IDS, который ведет себя аналогично Snort и работает по сигнатурам, но никак не фильтрует атаки на application level (L7), т.е. атаки сетевых служб. поэтому как вы там фильтровали циской 2gbps ддоса на nginx - это большая загадка, особенно если учесть, что пропускная способность этого фаерволла почти в 4 раза ниже от заявленной ширины вашего паразитарного траффика. обьясните пожалуйста, как такое может быть? :) вы или что то напутали, или намеренно вводите нас в заблуждение.
ничего личного, просто как у человека, имевшего опыт работы с asa - у меня сомнения есть по поводу возможного её использования для фильтрации от hhtp-флуда. да и не только у меня, на сисадминс.ру поднималась тема не однократно и никто не смог ничего сделать, а вам удалось. может быть конфигами поделитесь?
 
вы и в правду хотите нас убедить в том, что цисковский фаерволл начального уровня способен фильтровать трафик в 2gbps, при том, что заявленная

да и то, при заявленных 450, если до них трафик поднимется, который будут обрабатывать правила, то учитывая, что железка имеет всего 512mb оперативы - она сложится как карточный домик. к тому же, нет в этих железка такой опции, как "активировать защиту от DDOS", и быт её там не может по определению, потому что это не Cisco Guard. для этой модели есть разве что модуль расширения IDS, который ведет себя аналогично Snort и работает по сигнатурам, но никак не фильтрует атаки на application level (L7), т.е. атаки сетевых служб. поэтому как вы там фильтровали циской 2gbps ддоса на nginx - это большая загадка, особенно если учесть, что пропускная способность этого фаерволла почти в 4 раза ниже от заявленной ширины вашего паразитарного траффика. обьясните пожалуйста, как такое может быть? :) вы или что то напутали, или намеренно вводите нас в заблуждение.
ничего личного, просто как у человека, имевшего опыт работы с asa - у меня сомнения есть по поводу возможного её использования для фильтрации от hhtp-флуда. да и не только у меня, на сисадминс.ру поднималась тема не однократно и никто не смог ничего сделать, а вам удалось. может быть конфигами поделитесь?

фишка эта называется "botnet traffic filter"
ваше право сомневаться или не верить. У меня нет нималейшего желания вести спор "ни о чем"
450 мегабит эта железка способна через себя переварить, всё остальное уйдет в дроп.
там есть замечательные командочки
threat-detection rate dos-drop
threat-detection rate syn-attack
threat-detection rate conn-limit-drop
threat-detection rate bad-packet-drop

+
Connection Limits

так же не забываем о модуле ASA-SSM-CSC


я не говорил о идеальной защите, я говорил что сервис стал доступен через раз а сервак стал хотя бы откликатся на консоль.

А убеждать вас, или кого либо еще, у меня нет ни малейшего желания, если вы посмотрите дату моей регистрации и колличество сообщений то поймете что я не любитель "поболтать"
 
фишка эта называется "botnet traffic filter"

Cisco ASA Botnet Traffic Filter (фильтр трафика ботнетов) - позволяет устройствам Cisco ASA серии 5500 более точно идентифицировать зараженные клиенты с помощью информации из интеллектуальной системы Cisco Security Intelligence Operations. В состав этой системы входит более 1000 серверов для сбора информации об угрозах, которые получают информацию от более 700 000 сенсоров и из 500 каналов сторонних поставщиков. Благодаря усовершенствованной интеллектуальной системе сбора информации об угрозах заказчики могут более точно идентифицировать зараженные клиенты и оптимизировать работу так, чтобы администраторы систем безопасности могли сосредоточиться на самых сложных угрозах.
т.е. грубо говоря, информация берется из собственных ботнет-трекеров циско. ну, не особо думаю, что это поможет в защите)

я не говорил о идеальной защите, я говорил что сервис стал доступен через раз а сервак стал хотя бы откликатся на консоль.
ну так, с таким же успехом можно было бы поставить второй proliant на freebsd перед атакуемым сервером, и накатить на него nginx в режиме реверс прокси, без аппачей, и использовать встроенные возможности, типа limit_zone и limit_conn + рубить по юзер-агенту и кукам, и загружать отловленные айпишки в таблицу Pf - идеальное решение и самое распространенное. производительность будет зависить лишь от ширины канала и сетевых, а по цене - в 2, а то и 3 раза дешевле циски, которая для такого не предназначена. тут уж, кому что, как говорится. ну да и ладно! спасибо за то, что поделились своим опытом.

А убеждать вас, или кого либо еще, у меня нет ни малейшего желания, если вы посмотрите дату моей регистрации и колличество сообщений то поймете что я не любитель "поболтать"
ну, за это могу вас только похвалить. обычно админы и инженеры и в реале не особо общаются, но на форумах то как раз активны. это уже ваше собственное дело - общаться или нет, я вас не призываю делать какие то действия насильно))) давайте я вам лучше лайк поставлю за сообщение, самый первый! :)
 
т.е. грубо говоря, информация берется из собственных ботнет-трекеров циско. ну, не особо думаю, что это поможет в защите)

помогает, честно :)
ну так, с таким же успехом можно было бы поставить второй proliant на freebsd перед атакуемым сервером, и накатить на него nginx в режиме реверс прокси, без аппачей, и использовать встроенные возможности, типа limit_zone и limit_conn + рубить по юзер-агенту и кукам, и загружать отловленные айпишки в таблицу Pf - идеальное решение и самое распространенное. производительность будет зависить лишь от ширины канала и сетевых, а по цене - в 2, а то и 3 раза дешевле циски, которая для такого не предназначена. тут уж, кому что, как говорится. ну да и ладно! спасибо за то, что поделились своим опытом.

Ну это точно так же как и тот факт что любой маршрутизатор циско дешевле заменить SOFT роутером на базе PC

ну, за это могу вас только похвалить. обычно админы и инженеры и в реале не особо общаются, но на форумах то как раз активны. это уже ваше собственное дело - общаться или нет, я вас не призываю делать какие то действия насильно))) давайте я вам лучше лайк поставлю за сообщение, самый первый! :)

На самом деле я тоже достаточно общителен на форумах но предпочитаю вести спор (интенсивную дискурсию) лишь в том случае когда я могу привести объективные доказательства своей правоты, а так как в данном случае доказать я ничего не смогу даже если очень захочу.. то не было смысла спорить так как единственный итог к которому это вело - > ругань.

PS ух ты у меня первый лайк, спасибо.
 
Для просмотра ссылки Войди или Зарегистрируйся - аналог мини-vps, аппаратная защита, хороший админ, низкие цены. Аппаратная защита насколько я понял сильные атаки не выдерживает или подключается только при атаках, но месячный ddos после пары дней настроек отбили и теперь все стабильно работает, хотя атаки продолжаются до сих пор.

Вообще заметил, что в России защита от ddos стоит либо дорого либо существует только как слоган для привлечения клиентов. Лучше в этом плане обратить внимание на зарубежных хостеров.
 
Если хорошая досс атака хостинги ее не держат!!! Лучше всего заказывать специальную защиту. Хотя конечно это будет стоить дорого, но если проект долгосрочный то я бы советовал лучше искать хорошую защиту(отдельно от хостинга), чем хостинг с защитой
 
Да, это все-таки от хостинга зависит, зарубежные хостинги с ддос защитой вполне оправдывают свою цену, а вот среди отечественных вменяемой защиты от этой заразы не встречал, если только в индивидуальном порядке и за большие деньги.
 
Слышал от многих знакомых что вот эта компания предлагает защиту от доос Для просмотра ссылки Войди или Зарегистрируйся. Ну я честно незнаю.. тратить такие деньги, только если проект стоит того. Маленькие и средний сайты редко досят.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху