ноября 18

DDOS атака на DNS сервера

В период с 17.11.2012 18:30 до 18.11.2012 02:00 на наши DNS сервера была произведена DDOS атака. В пиковые моменты сила DDOS атаки составляла 1 миллион пакетов в секунду. Мы запустили дополнительный DNS сервер, который позволил стабилизировать работу сайтов. Одной из проблем таких атак является то, что дата-центры не позволяют принимать такой объем пакетов, ограничивая прием в несколько сотен тысяч пакетов в секунду.

Для того, что б фильтровать атаки такой силы нами недавно был куплен межсетевой экран Juniper NetScreen 5400 (в данный момент он еще не доставлен на Украину), который в состоянии обслуживать несколько миллионов активных сессий клиентов и фильтровать до 12 Гбит/с трафика мелкими пакетами или 30 Гбит/с пакетами большого размера. В начале недели займемся поиском провайдера, который сможет гарантировать доставку нескольких миллионов пакетов напрямую на наш маршрутизатор. Что позволит фильтровать атаки большого размера.

Молодцы ребята! Заботитесь о пользователях, что не может не радовать. Спасибо!
Написал albium 18.11.2012 в 16:55
Означает ли это, что вы смените ДЦ?
Написал 18.11.2012 в 17:21
Нет, ДЦ мы менять не будем. Мы планируем затянуть отдельное оптоволокно со скоростью 10G прямо на свой маршрутизатор, сейчас мы берем канал в ДЦ 3Gbit/s и этот канал проходит через маршрутизатор дата-центра.
Написал rudenko 18.11.2012 в 23:07
Иллюха, молодцы! Надо все сайты к вас мои перетягивать, более надежно чем на hc.ua )))
Написал SerzhExpo 22.11.2012 в 20:41
Собранные воедино GeForce 9800GX2 (dual PCB) решают вопрос deep packet inspection и закрывают до 8 Гбит трафа из мелких пакетов + Snort. Конечно же решение на коленке не заменит ASICовского решения от именитого производителя. Удачи в Вашем нелегком деле.
Написал sergey.chaus 18.11.2012 в 22:30
А ведь отличная идея - использовать для некоторых задач многоядерные процессоры видеокарты. Нужно будет подробней изучить этот вопрос.
Написал rudenko 18.11.2012 в 23:12
Изучи. Потом расскажешь. гг
Написал vitik88 19.11.2012 в 19:02
Думаю, когда кто-то изучит глубину вопроса, то одним рассказом не обойдется. А какими будут яркими междометия! Но после изучения тонкостей вопроса этого Человека можно будет без преувеличения назвать "Мастером параллельного программирования и внутри пакетной фильтрации". Подсказываю для начала нужно изучить основы строения ассоциативной памяти и ассоциативный поиск по большой базе. Потом немножко приправить параллельным программирования (128 потоковых процессора/пиксельных шейдера в одной ноде G92). Ну как разбирать пакеты вы все знаете. Если не знаете об этом знает Snort. Основные фишки именно в этом. Уверен в ASICe Juniper NetScreen 5400 именно такая концепция /механизм и используется. Когда-то был на спец семинарах Juniper в Киеве для ограниченного круга лиц (группа из 13-14) P.S. Жаль нельзя картинок прикрепить. А вообще с атаками такого типа нужно бороться на уровне магистрального провайдера. И при необходимости просто убирать целые автономные системы из BGP. Но для этого у вашего ДЦ должен быть заключен договор SLA c магистральником. Или Ваш ДЦ он же и провайдер?
Написал sergey.chaus 20.11.2012 в 09:00
Наш ДЦ является и провайдером, но не возражает относительно затягивания своих волокон в ДЦ.
Написал rudenko 20.11.2012 в 10:42
Приятная новость, не видел еще хостингов такого уровня. Всем вас советую !)
Написал webKAI 20.11.2012 в 23:52