И такой бизнес тоже
есть — чужой трафик чистить от мусора
DDoS-атаках рассказывает
создатель Highload Lab и сети фильтрации
трафика QRATOR Александр Лямин
...
Стоимость атаки сильно
зависит от того, как она реализуется.
Исполнителем может выступать студент,
который сам что-то написал и готов
поработать за пиво, а может и организованная
группировка.
Есть типы атак, которые
могут стоить, по слухам, полмиллиона
рублей и больше
...
Мы классифицируем
атаки очень просто: атаки на приложения,
атаки на канальную полосу (скорость
измеряется в гигабитах/с), атаки на
сетевую инфраструктуру (скорость
измеряется в пакетах в секунду), атаки
на транспортный уровень (стек TCP/IP).
Самая мякотка — это
уровень приложения. Почему? Потому, что
у атак уровня приложения плечо максимально.
Плечо атаки — это отношение ресурсов,
необходимых на стороне атакующих, к
ресурсам, необходимым на стороне
приложения (на стороне защищающихся).
...
Что такое атаки на
сетевом уровне? Просто залить полосой
в 56 Гбит — это clustery sort называется. Это
последнее средство, когда ничего уже
не помогает. Такие атаки очень дороги
и чрезвычайно разрушительны не только
для самой жертвы, но и для всех, кто
«стоит рядом». Как правило, они не могут
продолжаться дольше двух-трех суток,
так как начинают доставлять проблемы
даже источникам атаки — сетям, с которых
она производится.
...
Когда к нам приходит
клиент, мы объясняем, что ему необходимо
перевести DNS на наш IP-адрес (которой мы
ему выделяем). Также, чтобы избежать
атаки на прямой IP клиента, который уже
засвечен в сети, необходимо его как
минимум поменять, а как максимум —
поменять этот IP и дополнительно скрыть
с помощью настроек iptables или файервола
все IP-адреса, кроме наших.
Как только перестраивается
DNS, начинается фильтрация. А дальше
происходит самое интересное — обучение
фильтров. Обычно мы задаем для себя
планку: после двух часов под атакой
ресурс клиента должен начать работать.
И в целом ее выдерживаем.
...
Мы долго пытались
разобраться с TCP/IP-стеком, смотрели на
Free BSD и Linux и в итоге пришли к выводу, что
стек в его теперешнем состоянии нам
совершенно не нравится. У нас есть своя
облегченная версия TCP/IP, которая очень
хорошо себя ведет на текущих короткоживущих
протоколах, быстрых TCP-соединениях.
...
От атак базового
уровня защититься можно (в смысле —
самостоятельно?). Для этого нужно
обязательно иметь выделенный хостинг,
а также возможность скомпилировать
модули и свою версию веб-сервера. Статей
на эту тему написано много, и я, наверное,
отошлю вас к своей статье 2008 года (найти
ее можно в блоге на highloadlab.ru). Это одна
из первых статей, в которой доступно
изложено, что и как следует сделать.
Также рекомендую ознакомиться с
презентацией «Практическое руководство
по выживанию в DDoS», которую мы показывали
на Highload++ в 2009 году.
...
Трафик — это одна из
наших главных статей расходов. Его
тратится не просто много, а очень много.
...
Для предприятий малого
бизнеса у нас есть специальный тариф —
5000 рублей. Но это не значит, что по более
низким расценкам мы работаем хуже. На
всех наших тарифах используется одна
и та же система, качество фильтрации
везде одинаково.
...
Мы подумали, что если
бы нам удалось создать систему, построение
и функционирование которой обходилось
бы дешевле, чем проведение атаки,
способной убить эту систему, то мы бы
ликвидировали экономическое плечо
атаки. Атаковать стало бы невыгодно.
Исходя из этого, мы и строили идеологию
развития нашего решения.
Одно слово — молодцы!
Комментариев нет:
Отправить комментарий