Хостинги с защитой от DDos? Кто знает?

[darkangel66]

Друзья, на личном опыте имел возможность ощутить ДДОС на своих серверах а ввиду того что я сотрудник ISP компании то в руках имел множество инструментов и так что имеем:

HP 360G 2 проца по 4 ядра.
OS FreeBSD 9.0 x64
fail2ban + IPFW

фронтенд nginx
бекэнд апач 2.2.24

всё началось с того что пришло уведомление с сервака о резком росте лоад авередж
данную нагрузку я получил из за tcpsync атаки в 600 потоков с 600 разных IP (к чести нгинса + апач , сервак не помер ) при этом фаил2бан молчал (со стороны ибо всё это выглядит как резкий наплыв популярности ресурса)

затем число сессий увеличилось в 5 раз при этом апач помер, я получил стабильную ошибку 502 от нгинса, но сервак таки продолжал работать а нгинс отвечать. фаил2бан так же молчал (а чего ему не молчать ведь 5 сессий с 1 ип вполне норм)

мне стало интересно что будет если все эти 600 ип я запихну в фаервол.. что я собственно и сделал , фаил2бан задумался.. (если честно я почти посчитал что сервак таки помер) но через секунд 10 он таки отдуплился и ... "нагрузка спала"

позже до нехороших дядек дошло что их попросту отфаерволили и они сменили тактику.
видимо дяди сменили ботнет ибо на меня прилетел 2 гигабитный поток с более чем 30000 IP адресов, сервак ушел в вечные раздумья о бытие.
Но ради интереса перед сервачком я поставил ASA5520 с активированной защитой от DDoS и случилось "чудо" мало того что сервак отдуплился дак еще и веб сервисы стали ДОСТУПНЫ. Да сервисы работали с некоторой задумчивостью (ASA5520 имела 100% загрузку CPU) но всё же задумчивые сервисы это лучше чем мертвые сервисы.
Ну а фаил2бан показал свою полную бесполезность при защите от ботнетов.

Ах да я к тому что от настоящего ДДОС не спасет ничего, за время моей работы на рынке ISP я видал ДДОСы и по 10 гигабит и по 40 (ложатся все аплинки оператора и можете хоть зафаирволится)

так что лично мое мнение на посты выше... то что fail2ban подходит максимум для защиты от брутфорса а защиту от DDoS стоит переложить таки на специализированное оборудование.

вот так выглядела сия атака на графике с сервака

 

[stooper]

Но ради интереса перед сервачком я поставил ASA5520 с активированной защитой от DDoS и случилось "чудо" мало того что сервак отдуплился дак еще и веб сервисы стали ДОСТУПНЫ.

вы и в правду хотите нас убедить в том, что цисковский фаерволл начального уровня способен фильтровать трафик в 2gbps, при том, что заявленная

Производительность межсетевого экрана CiscoASA 5520 - 450 Мбит/с

да и то, при заявленных 450, если до них трафик поднимется, который будут обрабатывать правила, то учитывая, что железка имеет всего 512mb оперативы - она сложится как карточный домик. к тому же, нет в этих железка такой опции, как "активировать защиту от DDOS", и быт её там не может по определению, потому что это не Cisco Guard. для этой модели есть разве что модуль расширения IDS, который ведет себя аналогично Snort и работает по сигнатурам, но никак не фильтрует атаки на application level (L7), т.е. атаки сетевых служб. поэтому как вы там фильтровали циской 2gbps ддоса на nginx - это большая загадка, особенно если учесть, что пропускная способность этого фаерволла почти в 4 раза ниже от заявленной ширины вашего паразитарного траффика. обьясните пожалуйста, как такое может быть? вы или что то напутали, или намеренно вводите нас в заблуждение.
ничего личного, просто как у человека, имевшего опыт работы с asa - у меня сомнения есть по поводу возможного её использования для фильтрации от hhtp-флуда. да и не только у меня, на сисадминс.ру поднималась тема не однократно и никто не смог ничего сделать, а вам удалось. может быть конфигами поделитесь?

 

[darkangel66]

вы и в правду хотите нас убедить в том, что цисковский фаерволл начального уровня способен фильтровать трафик в 2gbps, при том, что заявленная

да и то, при заявленных 450, если до них трафик поднимется, который будут обрабатывать правила, то учитывая, что железка имеет всего 512mb оперативы - она сложится как карточный домик. к тому же, нет в этих железка такой опции, как "активировать защиту от DDOS", и быт её там не может по определению, потому что это не Cisco Guard. для этой модели есть разве что модуль расширения IDS, который ведет себя аналогично Snort и работает по сигнатурам, но никак не фильтрует атаки на application level (L7), т.е. атаки сетевых служб. поэтому как вы там фильтровали циской 2gbps ддоса на nginx - это большая загадка, особенно если учесть, что пропускная способность этого фаерволла почти в 4 раза ниже от заявленной ширины вашего паразитарного траффика. обьясните пожалуйста, как такое может быть? вы или что то напутали, или намеренно вводите нас в заблуждение.
ничего личного, просто как у человека, имевшего опыт работы с asa - у меня сомнения есть по поводу возможного её использования для фильтрации от hhtp-флуда. да и не только у меня, на сисадминс.ру поднималась тема не однократно и никто не смог ничего сделать, а вам удалось. может быть конфигами поделитесь?

фишка эта называется "botnet traffic filter"
ваше право сомневаться или не верить. У меня нет нималейшего желания вести спор "ни о чем"
450 мегабит эта железка способна через себя переварить, всё остальное уйдет в дроп.
там есть замечательные командочки
threat-detection rate dos-drop
threat-detection rate syn-attack
threat-detection rate conn-limit-drop
threat-detection rate bad-packet-drop

+
Connection Limits

так же не забываем о модуле ASA-SSM-CSC


я не говорил о идеальной защите, я говорил что сервис стал доступен через раз а сервак стал хотя бы откликатся на консоль.

А убеждать вас, или кого либо еще, у меня нет ни малейшего желания, если вы посмотрите дату моей регистрации и колличество сообщений то поймете что я не любитель "поболтать"

 

[stooper]

фишка эта называется "botnet traffic filter"

Cisco ASA Botnet Traffic Filter (фильтр трафика ботнетов) - позволяет устройствам Cisco ASA серии 5500 более точно идентифицировать зараженные клиенты с помощью информации из интеллектуальной системы Cisco Security Intelligence Operations. В состав этой системы входит более 1000 серверов для сбора информации об угрозах, которые получают информацию от более 700 000 сенсоров и из 500 каналов сторонних поставщиков. Благодаря усовершенствованной интеллектуальной системе сбора информации об угрозах заказчики могут более точно идентифицировать зараженные клиенты и оптимизировать работу так, чтобы администраторы систем безопасности могли сосредоточиться на самых сложных угрозах.

т.е. грубо говоря, информация берется из собственных ботнет-трекеров циско. ну, не особо думаю, что это поможет в защите)

я не говорил о идеальной защите, я говорил что сервис стал доступен через раз а сервак стал хотя бы откликатся на консоль.

ну так, с таким же успехом можно было бы поставить второй proliant на freebsd перед атакуемым сервером, и накатить на него nginx в режиме реверс прокси, без аппачей, и использовать встроенные возможности, типа limit_zone и limit_conn + рубить по юзер-агенту и кукам, и загружать отловленные айпишки в таблицу Pf - идеальное решение и самое распространенное. производительность будет зависить лишь от ширины канала и сетевых, а по цене - в 2, а то и 3 раза дешевле циски, которая для такого не предназначена. тут уж, кому что, как говорится. ну да и ладно! спасибо за то, что поделились своим опытом.

А убеждать вас, или кого либо еще, у меня нет ни малейшего желания, если вы посмотрите дату моей регистрации и колличество сообщений то поймете что я не любитель "поболтать"

ну, за это могу вас только похвалить. обычно админы и инженеры и в реале не особо общаются, но на форумах то как раз активны. это уже ваше собственное дело - общаться или нет, я вас не призываю делать какие то действия насильно))) давайте я вам лучше лайк поставлю за сообщение, самый первый!

 

[darkangel66]

т.е. грубо говоря, информация берется из собственных ботнет-трекеров циско. ну, не особо думаю, что это поможет в защите)

помогает, честно

ну так, с таким же успехом можно было бы поставить второй proliant на freebsd перед атакуемым сервером, и накатить на него nginx в режиме реверс прокси, без аппачей, и использовать встроенные возможности, типа limit_zone и limit_conn + рубить по юзер-агенту и кукам, и загружать отловленные айпишки в таблицу Pf - идеальное решение и самое распространенное. производительность будет зависить лишь от ширины канала и сетевых, а по цене - в 2, а то и 3 раза дешевле циски, которая для такого не предназначена. тут уж, кому что, как говорится. ну да и ладно! спасибо за то, что поделились своим опытом.

Ну это точно так же как и тот факт что любой маршрутизатор циско дешевле заменить SOFT роутером на базе PC

ну, за это могу вас только похвалить. обычно админы и инженеры и в реале не особо общаются, но на форумах то как раз активны. это уже ваше собственное дело - общаться или нет, я вас не призываю делать какие то действия насильно))) давайте я вам лучше лайк поставлю за сообщение, самый первый!

На самом деле я тоже достаточно общителен на форумах но предпочитаю вести спор (интенсивную дискурсию) лишь в том случае когда я могу привести объективные доказательства своей правоты, а так как в данном случае доказать я ничего не смогу даже если очень захочу.. то не было смысла спорить так как единственный итог к которому это вело - > ругань.

PS ух ты у меня первый лайк, спасибо.

 

[zudabi]

Рекомендую Для просмотра ссылки Войди или Зарегистрируйся, от 150$ в месяц без платы за сетап. Потолок атаки 100gbps, 140kk PPS.

 

[MrDevil]

Для просмотра ссылки Войди или Зарегистрируйся - аналог мини-vps, аппаратная защита, хороший админ, низкие цены. Аппаратная защита насколько я понял сильные атаки не выдерживает или подключается только при атаках, но месячный ddos после пары дней настроек отбили и теперь все стабильно работает, хотя атаки продолжаются до сих пор.

Вообще заметил, что в России защита от ddos стоит либо дорого либо существует только как слоган для привлечения клиентов. Лучше в этом плане обратить внимание на зарубежных хостеров.

 

[wedear]

Если хорошая досс атака хостинги ее не держат!!! Лучше всего заказывать специальную защиту. Хотя конечно это будет стоить дорого, но если проект долгосрочный то я бы советовал лучше искать хорошую защиту(отдельно от хостинга), чем хостинг с защитой

 

[Gerty4]

Да, это все-таки от хостинга зависит, зарубежные хостинги с ддос защитой вполне оправдывают свою цену, а вот среди отечественных вменяемой защиты от этой заразы не встречал, если только в индивидуальном порядке и за большие деньги.

 

[wedear]

Слышал от многих знакомых что вот эта компания предлагает защиту от доос Для просмотра ссылки Войди или Зарегистрируйся. Ну я честно незнаю.. тратить такие деньги, только если проект стоит того. Маленькие и средний сайты редко досят.