Хостинги с защитой от DDos? Кто знает?

Тема в разделе "Хостинг", создана пользователем jabbaxatt, 26 апр 2013.

Статус темы:
Закрыта.
  1. darkangel66

    darkangel66 Постоялец

    Регистр.:
    20 дек 2007
    Сообщения:
    50
    Симпатии:
    16
    Друзья, на личном опыте имел возможность ощутить ДДОС на своих серверах а ввиду того что я сотрудник ISP компании то в руках имел множество инструментов и так что имеем:

    HP 360G 2 проца по 4 ядра.
    OS FreeBSD 9.0 x64
    fail2ban + IPFW

    фронтенд nginx
    бекэнд апач 2.2.24

    всё началось с того что пришло уведомление с сервака о резком росте лоад авередж
    данную нагрузку я получил из за tcpsync атаки в 600 потоков с 600 разных IP (к чести нгинса + апач , сервак не помер ) при этом фаил2бан молчал (со стороны ибо всё это выглядит как резкий наплыв популярности ресурса)

    затем число сессий увеличилось в 5 раз при этом апач помер, я получил стабильную ошибку 502 от нгинса, но сервак таки продолжал работать а нгинс отвечать. фаил2бан так же молчал (а чего ему не молчать ведь 5 сессий с 1 ип вполне норм)

    мне стало интересно что будет если все эти 600 ип я запихну в фаервол.. что я собственно и сделал , фаил2бан задумался.. (если честно я почти посчитал что сервак таки помер) но через секунд 10 он таки отдуплился и ... "нагрузка спала"

    позже до нехороших дядек дошло что их попросту отфаерволили и они сменили тактику.
    видимо дяди сменили ботнет ибо на меня прилетел 2 гигабитный поток с более чем 30000 IP адресов, сервак ушел в вечные раздумья о бытие.
    Но ради интереса перед сервачком я поставил ASA5520 с активированной защитой от DDoS и случилось "чудо" мало того что сервак отдуплился дак еще и веб сервисы стали ДОСТУПНЫ. Да сервисы работали с некоторой задумчивостью (ASA5520 имела 100% загрузку CPU) но всё же задумчивые сервисы это лучше чем мертвые сервисы.
    Ну а фаил2бан показал свою полную бесполезность при защите от ботнетов.

    Ах да я к тому что от настоящего ДДОС не спасет ничего, за время моей работы на рынке ISP я видал ДДОСы и по 10 гигабит и по 40 (ложатся все аплинки оператора и можете хоть зафаирволится)

    так что лично мое мнение на посты выше... то что fail2ban подходит максимум для защиты от брутфорса а защиту от DDoS стоит переложить таки на специализированное оборудование.

    вот так выглядела сия атака на графике с сервака
    [​IMG]
     
  2. stooper

    stooper traffic doctor

    Регистр.:
    14 апр 2006
    Сообщения:
    582
    Симпатии:
    368
    вы и в правду хотите нас убедить в том, что цисковский фаерволл начального уровня способен фильтровать трафик в 2gbps, при том, что заявленная
    да и то, при заявленных 450, если до них трафик поднимется, который будут обрабатывать правила, то учитывая, что железка имеет всего 512mb оперативы - она сложится как карточный домик. к тому же, нет в этих железка такой опции, как "активировать защиту от DDOS", и быт её там не может по определению, потому что это не Cisco Guard. для этой модели есть разве что модуль расширения IDS, который ведет себя аналогично Snort и работает по сигнатурам, но никак не фильтрует атаки на application level (L7), т.е. атаки сетевых служб. поэтому как вы там фильтровали циской 2gbps ддоса на nginx - это большая загадка, особенно если учесть, что пропускная способность этого фаерволла почти в 4 раза ниже от заявленной ширины вашего паразитарного траффика. обьясните пожалуйста, как такое может быть? :) вы или что то напутали, или намеренно вводите нас в заблуждение.
    ничего личного, просто как у человека, имевшего опыт работы с asa - у меня сомнения есть по поводу возможного её использования для фильтрации от hhtp-флуда. да и не только у меня, на сисадминс.ру поднималась тема не однократно и никто не смог ничего сделать, а вам удалось. может быть конфигами поделитесь?
     
  3. darkangel66

    darkangel66 Постоялец

    Регистр.:
    20 дек 2007
    Сообщения:
    50
    Симпатии:
    16
    фишка эта называется "botnet traffic filter"
    ваше право сомневаться или не верить. У меня нет нималейшего желания вести спор "ни о чем"
    450 мегабит эта железка способна через себя переварить, всё остальное уйдет в дроп.
    там есть замечательные командочки
    threat-detection rate dos-drop
    threat-detection rate syn-attack
    threat-detection rate conn-limit-drop
    threat-detection rate bad-packet-drop

    +
    Connection Limits

    так же не забываем о модуле ASA-SSM-CSC


    я не говорил о идеальной защите, я говорил что сервис стал доступен через раз а сервак стал хотя бы откликатся на консоль.

    А убеждать вас, или кого либо еще, у меня нет ни малейшего желания, если вы посмотрите дату моей регистрации и колличество сообщений то поймете что я не любитель "поболтать"
     
    stooper нравится это.
  4. stooper

    stooper traffic doctor

    Регистр.:
    14 апр 2006
    Сообщения:
    582
    Симпатии:
    368
    т.е. грубо говоря, информация берется из собственных ботнет-трекеров циско. ну, не особо думаю, что это поможет в защите)

    ну так, с таким же успехом можно было бы поставить второй proliant на freebsd перед атакуемым сервером, и накатить на него nginx в режиме реверс прокси, без аппачей, и использовать встроенные возможности, типа limit_zone и limit_conn + рубить по юзер-агенту и кукам, и загружать отловленные айпишки в таблицу Pf - идеальное решение и самое распространенное. производительность будет зависить лишь от ширины канала и сетевых, а по цене - в 2, а то и 3 раза дешевле циски, которая для такого не предназначена. тут уж, кому что, как говорится. ну да и ладно! спасибо за то, что поделились своим опытом.

    ну, за это могу вас только похвалить. обычно админы и инженеры и в реале не особо общаются, но на форумах то как раз активны. это уже ваше собственное дело - общаться или нет, я вас не призываю делать какие то действия насильно))) давайте я вам лучше лайк поставлю за сообщение, самый первый! :)
     
    darkangel66 нравится это.
  5. darkangel66

    darkangel66 Постоялец

    Регистр.:
    20 дек 2007
    Сообщения:
    50
    Симпатии:
    16
    помогает, честно :)
    Ну это точно так же как и тот факт что любой маршрутизатор циско дешевле заменить SOFT роутером на базе PC

    На самом деле я тоже достаточно общителен на форумах но предпочитаю вести спор (интенсивную дискурсию) лишь в том случае когда я могу привести объективные доказательства своей правоты, а так как в данном случае доказать я ничего не смогу даже если очень захочу.. то не было смысла спорить так как единственный итог к которому это вело - > ругань.

    PS ух ты у меня первый лайк, спасибо.
     
  6. zudabi

    zudabi Писатель

    Регистр.:
    13 сен 2010
    Сообщения:
    8
    Симпатии:
    0
    Рекомендую ddos-guard.net, от 150$ в месяц без платы за сетап. Потолок атаки 100gbps, 140kk PPS.
     
  7. MrDevil

    MrDevil Постоялец

    Регистр.:
    26 июл 2008
    Сообщения:
    72
    Симпатии:
    13
    http://cloudlinuxhost.eu - аналог мини-vps, аппаратная защита, хороший админ, низкие цены. Аппаратная защита насколько я понял сильные атаки не выдерживает или подключается только при атаках, но месячный ddos после пары дней настроек отбили и теперь все стабильно работает, хотя атаки продолжаются до сих пор.

    Вообще заметил, что в России защита от ddos стоит либо дорого либо существует только как слоган для привлечения клиентов. Лучше в этом плане обратить внимание на зарубежных хостеров.
     
  8. wedear

    wedear winter is coming

    Регистр.:
    3 янв 2014
    Сообщения:
    220
    Симпатии:
    14
    Если хорошая досс атака хостинги ее не держат!!! Лучше всего заказывать специальную защиту. Хотя конечно это будет стоить дорого, но если проект долгосрочный то я бы советовал лучше искать хорошую защиту(отдельно от хостинга), чем хостинг с защитой
     
  9. Gerty4

    Gerty4 Постоялец

    Регистр.:
    17 янв 2014
    Сообщения:
    50
    Симпатии:
    6
    Да, это все-таки от хостинга зависит, зарубежные хостинги с ддос защитой вполне оправдывают свою цену, а вот среди отечественных вменяемой защиты от этой заразы не встречал, если только в индивидуальном порядке и за большие деньги.
     
  10. wedear

    wedear winter is coming

    Регистр.:
    3 янв 2014
    Сообщения:
    220
    Симпатии:
    14
    Слышал от многих знакомых что вот эта компания предлагает защиту от доос http://highloadlab.com. Ну я честно незнаю.. тратить такие деньги, только если проект стоит того. Маленькие и средний сайты редко досят.
     
Статус темы:
Закрыта.