листопада 18

DDOS атака на DNS сервера

В період з 17.11.2012 18:30 до 18.11.2012 02:00 На наші DNS сервера була проведена DDOS атака. У пікові моменти сила DDOS атаки становила 1 мільйон пакетів в секунду. Ми запустили додатковий DNS сервер, який дозволив стабілізувати роботу сайтів. Однією з проблем таких атак є те, що дата-центри не дозволяють приймати такий обсяг пакетів, обмежуючи прийом в кілька сотень тисяч пакетів в секунду.

Для того, що б фільтрувати атаки такої сили нами недавно був куплений міжмережевий екран Juniper NetScreen 5400 (в даний момент він ще не доставлений на Україну), який в змозі обслуговувати кілька мільйонів активних сесій клієнтів і фільтрувати до 12 Гбіт / с трафіку дрібними пакетами або 30 Гбіт / с пакетами великого розміру. На початку тижня займемося пошуком провайдера, який зможе гарантувати доставку кількох мільйонів пакетів безпосередньо на наш маршрутизатор. Що дозволить фільтрувати атаки великого розміру.

Коментарі

albium
Молодцы ребята! Заботитесь о пользователях, что не может не радовать. Спасибо!
Означает ли это, что вы смените ДЦ?
rudenko
Нет, ДЦ мы менять не будем. Мы планируем затянуть отдельное оптоволокно со скоростью 10G прямо на свой маршрутизатор, сейчас мы берем канал в ДЦ 3Gbit/s и этот канал проходит через маршрутизатор дата-центра.
SerzhExpo
Иллюха, молодцы! Надо все сайты к вас мои перетягивать, более надежно чем на hc.ua )))
sergey.chaus
Собранные воедино GeForce 9800GX2 (dual PCB) решают вопрос deep packet inspection и закрывают до 8 Гбит трафа из мелких пакетов + Snort. Конечно же решение на коленке не заменит ASICовского решения от именитого производителя. Удачи в Вашем нелегком деле.
rudenko
А ведь отличная идея - использовать для некоторых задач многоядерные процессоры видеокарты. Нужно будет подробней изучить этот вопрос.
vitik88
Изучи. Потом расскажешь. гг
sergey.chaus
Думаю, когда кто-то изучит глубину вопроса, то одним рассказом не обойдется. А какими будут яркими междометия! Но после изучения тонкостей вопроса этого Человека можно будет без преувеличения назвать "Мастером параллельного программирования и внутри пакетной фильтрации". Подсказываю для начала нужно изучить основы строения ассоциативной памяти и ассоциативный поиск по большой базе. Потом немножко приправить параллельным программирования (128 потоковых процессора/пиксельных шейдера в одной ноде G92). Ну как разбирать пакеты вы все знаете. Если не знаете об этом знает Snort. Основные фишки именно в этом. Уверен в ASICe Juniper NetScreen 5400 именно такая концепция /механизм и используется. Когда-то был на спец семинарах Juniper в Киеве для ограниченного круга лиц (группа из 13-14) P.S. Жаль нельзя картинок прикрепить. А вообще с атаками такого типа нужно бороться на уровне магистрального провайдера. И при необходимости просто убирать целые автономные системы из BGP. Но для этого у вашего ДЦ должен быть заключен договор SLA c магистральником. Или Ваш ДЦ он же и провайдер?
rudenko
Наш ДЦ является и провайдером, но не возражает относительно затягивания своих волокон в ДЦ.
webKAI
Приятная новость, не видел еще хостингов такого уровня. Всем вас советую !)