"A guy qui nostrum locum fecit iam praesidium DDoS extruxerat."
"Habemus praesidium DDoS, cur locus descendit?"
"Quot millia Qrator vis?"
Ut talibus quaestionibus e emptoris/bosse recte respondeas, pulchrum esset scire quid post nomen "DDoS tutelae" lateat. Eligendo officia securitatis similius est medicinam ex medico eligere quam mensam in IKEA eligere.
Paginas per XI annos sustinui, centum oppugnationes superstites in officiis quae sustineo, nunc tibi pauca de interioribus praesidiis dicam.
Impetus iusto. 350k req total, 52k req legitimate
Primus impetus eodem fere tempore cum Interrete apparuit. DDoS sicut phaenomenon diffusum est cum nuper 2000s (reprehendo out) ).
Cum circa 2015-2016, omnes fere provisores obnoxii ab DDoS oppugnationibus protecti sunt, ut in locis competitive locis eminentissimi (do whois per IP situs eldorado.ru, leroymerlin.ru, tilda.ws, reticulas videbis de tutela operariorum).
Si 10-20 annos maxime impetus in ipso ministro repelli potuit (probationes lenta.ru systematis administratoris Maxim Moshkov aestimare ex 90s: ) , nunc munimenta difficiliora facta sunt.
Genera impetus DDoS ex parte operator praesidium eligens
Impetus in L3 / L4 gradu (secundum exemplar OSI)
- UDP diluvium ex botnet (multae petitiones directe ab infectis machinis ad ministerium impugnatum mittuntur, ministri canali praeclusi sunt);
- DNS/NTP/etc amplificatio (multae petitiones ab infectis machinis ad DNS/NTP/etc. vulnerabiles mittuntur, oratio mittentis ficta est, nubes facis respondens petitionibus alveum hominis oppugnatur inundat, hoc est quam maxime. impetus ingens in moderno Interreti peraguntur);
— SYN/ACK diluvium (multae petitiones ad constituendum nexum mittuntur ad impugnatos servientes, nexum queue redundat);
— impetus cum fasciculo ruptionis, ping mortis, diluvium (Google placet);
- et sic porro.
Hi impetus intendunt "clangorem" server canalem vel "occidere" facultatem suam accipiendi novum commercium.
Etsi SYN/ACK inundationes et amplificationes valde diversae sunt, multae societates eas aeque bene pugnant. Problemata oriuntur cum impugnationibus e coetu proximo.
Impetus in L7 (application layer)
— diluvium (si locus aut api oppugnatur);
- impetum in locis nudis situs (qui cella non habent, qui situm gravissime onerant, etc.).
Propositum est ut servo "laborare", multum procedere "precationibus verisimiliter" et sine opum postulationibus realibus relinquatur.
Etsi alii sunt impetus, haec sunt frequentissima.
Impetus gravis in gradu L7 singulari modo creantur pro singulis inceptis oppugnandis.
Cur 2 circulos?
Quia multi sunt qui oppugnationes bene in gradu L3/L4 repellere sciunt, sed aut omnino non tutantur in gradu applicationis (L7) aut adhuc infirmiores sunt quam alterum in tractando.
Quis est qui in praesidio foro DDoS
(Meam opinionem)
Praesidium apud L3 / L4 gradu
Ad impetus amplificationis ("obstructionis" canalis ministrantis repellere), satis late canales sunt (multa officia tutelae cum pluribus provisoribus narum in Russia coniungunt et canales habent cum capacitate theoretica plus quam 1 Tbit). Noli oblivisci quod rarissima amplificatio oppugnat diutius quam horae durare. Si Spamhaus es et omnes non amo te, immo, canales tuas per aliquot dies claudere conantur, etiam in periculo ulterioris salutis botnet globalis adhibitae. Si modo copia online est, etiam si mvideo.ru, non vides 1 Tbit intra paucos dies brevissime (Spero).
Repellere impetus cum SYN/ACK inundationem, fasciculum ruptionis, etc., instrumentis seu systematibus programmatis deprehendere debes et prohibere tales impetus.
Multi homines talem apparatum gignunt (Arbor, solutiones e Cisco, Huawei, instrumentorum programmatum Wanguard, etc.), multi operariorum narum iam instituerunt et officia tutelae DDoS vendunt (scio de institutionibus Rostelecom, Megafon, TTK, MTS. imo omnes majores provisores idem faciunt cum hostera sua protectione a-la OVH.com, Hetzner.de, ipse praesidii apud ihor.ru. Societates nonnullae suas solutiones programmatum enucleant (technologiae sicut DPDK sinunt, ut decem gigabitum negotiationis in una machina physica procedas).
Pervulgatum histriones, omnes L3/L4 DDoS plus minusve efficaciter pugnare possunt. Nunc non dicam qui maiorem capacitatem canalis (hoc est interioris notitiae) habet, sed plerumque hoc non ita magnum est, et tantum interest quam cito praesidium urgeat (instanti vel post aliquot minuta temporis momenta eminet; ut apud Hetzner).
Quaeritur quomodo hoc fiat: amplificatio impetus repelli potest impediendo mercaturam e terris cum maxima copia negotiationis nocivarum, vel solum vere supervacaneum commercium deponi potest.
At simul, ex mea experientia, omnes graves fori histriones sine problematibus hoc tolerant: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (olim SkyParkCDN), ServicePipe, Stormwall, Voxility, etc.
Tutelam ab operariis non offendit sicut Rostelecom, Megafon, TTK, Beeline, secundum recognitiones a collegis, haec officia satis bene praebent, sed tantum experientiae defectus periodice afficit: interdum opus est aliquid per auxilium tutelae operantis.
Nonnulli operatores separatum servitium habent "praesidium contra impugnationes in gradu L3/L4", vel "praesidium channel", multo minus quam in omnibus gradibus constat.
Cur provisor spinarum non est repellendi impetus centenariorum Gbitorum, cum suos canales non habet?Tutela operans cuilibet majorum provisorum coniungere potest et "inpensas suas" impetus repellere. Pro canali dare debebis, sed haec omnia centena Gbits non semper adhibebuntur: optiones sunt ad signanter sumptus canales in hoc casu reducendos, ergo ratio operabilis manet.
Haec sunt relationes quae e gradu superiore L3/L4 semper accepi, dum rationes provisor hosting sustinens.
Tutela ad L7 level (application level)
Impetus in gradu L7 (campester applicatio) unitates constanter et efficaciter repellere possunt.
Ego satis multam experientiam apud
— Qrator.net;
— DDoS-Gard;
- G-Core Labs;
— Kaspersky.
Obiiciunt pro quolibet megabit mercaturae puri, megabit impensas circiter aliquot mille rubles. Si saltem 100 Mbps puri mercaturae - oh. Praesidium carissimum erit. In sequentibus articulis dicere possum quomodo applicationes designare ut multum in capacitate canalium securitatis salvet.
Verus "rex collis" est Qrator.net, reliqui post eos morantur. Qrator tam longe soli sunt in usu meo, qui recipis positivis falsis prope nullas dant, sed simul pluries sunt cariores aliis nundinis histriones.
Ceteri operarii altae qualitatem et stabilem tutelam etiam praebent. Multa officia nobis subnixa (including notissimas regiones!) ab DDoS-Guard, G-Core Labs custodiuntur, et effectibus consecutis satis contenti sunt.
Impetus repelluntur Qrator
Experimentum quoque sum cum parvis operariis securitatis sicut nubes-shield.ru, ddosa.net, milia eorum. Certo non suadeo, quia... Non multum expertus sum, sed de principiis laboris sui tibi dicam. Eorum sumptus tutelae saepe sunt 1-2 ordines magnitudinis inferiores quam maior histriones. Pro regula, servitium tutelae partialis emunt (L3/L4) ab uno ex maioribus histriones + suam tutelam contra impetus in superiora faciunt. Hoc satis efficax esse potest + pro minori pecunia bene operare potes, sed adhuc parvae manipulae sunt cum parvo baculo, quaeso ut memineris.
Quae difficultas repellendi impetus in gradu L7?
Omnes applicationes singulares sunt, et necesse est ut negotiatio quae illis utilis sit et noxias obstruat. Automata in aequivoce non semper contingit, quare multis, re multis gradibus negotiationis purgationis uti debes.
Olim nginx testcookie moduli satis erat () et adhuc satis magnum numerum impetus ad repellendum. Cum laboravi in industria obnoxius, L7 praesidium in nginx-testcookie fundatum est.
Infeliciter, impetus difficiliores facti sunt. testcookie usus JS-basis automata compescit, et multi automata moderna feliciter eas praeterire possunt.
Botnetes oppugnare etiam singulares sunt, ac notae cuiusque magni botnet rationi habendae sunt.
Amplificatio, inundatio directa ex botnet, percolando commercium e diversis nationibus (diversis eliquationibus pro diversis regionibus), SYN/ACK inundatio, fasciculus ruptionis, ICMP, http inundatio, dum in applicatione/http gradu cum infinito numero ascendere potes. diversos impetus.
In summa, in plano tutelae canalis, specialioribus instrumentis ad purgandum commercium, specialem programmatum, additis eliquationibus uncinis pro quolibet cliente, possunt esse decem gradus et centeni eliquandi.
Ad hoc recte administrandum et recte eliquandi unctiones edendi pro diversis utentibus, multa experientia ac personas idoneos debes. Etiam magnus operator, qui officia tutelae praebere decrevit, "pecuniam in problemate proicere non potest": experientia acquirenda erit ex locis mendacibus et falsis positivis in legitimo negotiationis.
Nulla tesseram "repellere DDoS" pro operator securitatis, multa instrumenta instrumenta sunt et scire debes quomodo illis uti.
et unum bonum exemplum.
Nudari servo impeditum ab hospite in oppugnatione cum facultate DC Mbit
("Amissio" negotiationis non notabilis est, quia solum 1 situs oppugnatus, temporaliter a servo remotus est et intra horam interclusio sublata est).
Idem servo servatur. Oppugnatores "desederunt" post diem impetus repulsorum. non validissimus impetus fuit.
Impetum et defensionem L3/L4 leviores sunt, maxime pendent a crassitudine canalium, deprehendendi et percolandi algorithmorum pro oppugnationibus.
Impetus l7 magis sunt complexi et primigenii, pendent in applicatione lacessiti, facultates et imaginatio oppugnantium. Praesidium contra eos multum requirit scientiam et experientiam, et effectus non potest esse immediata et non centum centesimas. Usque ad Google cum alia reticulatione neurali tutelae accessit.
Source: www.habr.com