Выделенные серверы во Франции!





И снова возвращаемся с классными новостями для наших клиентов! Вслед за США мы установили идеальные выделенные серверы во Франции, в дата-центре нашего партнёра c сертификацией TIER III.

Тарифные линейки включают мощные серверы на процессорах 2xE5-2697Av4 (32 физических ядра и 64 потока), DDR4 ECC RAM, SSD уровня Enterprise и интернет-канал 10 Gbps!

pq.hosting/dedicated-server-fr

Никакой платы за установку облачных VPS, VDS и выделенных серверов в этот День Святого Патрика!



В духе Дня Святого Патрика Contabo здесь, чтобы подарить вам немного старой ирландской удачи для ваших нужд в облачном хостинге! Получите бесплатную установку новых экземпляров Cloud VPS, Cloud VDS и выделенных серверов — это наш способ расстелить зеленую ковровую дорожку и отпраздновать этот день вместе с вами.

Давайте отпразднуем этот День Святого Патрика не только с обычным зеленым «Гиннессом» и смеющимися гномами. В конце радуги Contabo мы предлагаем вам возможность расширить свой цифровой ландшафт без дополнительных затрат на установку.

Пусть ваши проекты процветают благодаря этому ирландскому очарованию. Не упустите ограниченное предложение St. Paddy!

Желаю вам счастливого Дня Святого Патрика
Ваша команда Контабо

contabo.com/en/vps/

Увеличение стоимости дополнительных IPv4 адресов



Уважаемые клиенты,

Хотим сообщить вам о важном обновлении цен на дополнительные IPv4 адреса с 1 апреля 2024 года. В связи с непрекращающимся ростом стоимости IPv4 адресов на рынке и ограниченным количеством доступных ресурсов, мы вынуждены внести изменения в нашу тарифную политику.

На данный момент получить новые IPv4 адреса практически невозможо, а стоимость на рынке продолжает увеличиваться. Кроме того, арендные сети, которые мы предоставляем, также подвержены ежегодному повышению цен с геометрической прогрессией.

Текущая стоимость одного дополнительного IPv4 адреса составляет 100 рублей в месяц. С 1 апреля 2024 года эта цена увеличится до 140 рублей в месяц за каждый дополнительный IPv4 адрес. Понимая, что это может повлиять на наших клиентов, мы готовы рассмотреть варианты скидок для тех, кто арендует большое количество адресов. Для получения более подробной информации о возможных скидках, просим обращаться в нашу службу поддержки.

Мы приносим извинения за любые неудобства, которые это изменение может вызвать, и благодарим вас за ваше понимание и лояльность.

С уважением,
Служба заботы о клиентах ООО «СервТех»

Зовем на первый деньрожденческий стрим с командой ispmanager



Зовем вас на первый деньрожденческий стрим с командой ispmanager завтра, 15 марта в 15:50 по МСК.

Двадцать лет назад, 17 марта 2004 года, вышла первая коммерческая версия ispmanager. Так говорят наши хроники. Как и положено в этом возрасте, наша команда бодра, полна сил и заряжена на новые свершения. Будем улучшать ispmanager дальше. Как — расскажем на стриме. А ещё разыграем подарки.

В списке:
  • 10 комплектов мерча, приуроченного к 20-летию продукта;
  • 10 AlphaSSL;
  • 2 годовых ispmanager lite;
  • годовой ispmanager host.

План стрима такой:
  • Расскажет о планах продукта на год и даже покажет свежие прототипы — продакт-менеджер ispmanager Мария Кузьмина.
  • О Клубе экспертов, самых крутых его участниках и новой программе поддержки авторов расскажет комьюнити-менеджер Игорь Губайдуллин.

Модератор встречи — руководитель отдела маркетинга Вячеслав Пигарев. Задавать вопросы на стрим можно уже сейчас — в специальной формочке.
docs.google.com/forms/d/e/1FAIpQLSf0U0fFAOlSRyhtrGQzLQ30tdcgvWJDyCca5fvNSX0s-45gag/viewform

Стрим пройдёт завтра 15 марта в 15:50 по МСК на нашем YouTube-канале. Подпишитесь на уведомления о стриме, чтобы не пропустить начало трансляции.
www.youtube.com/watch?v=to0PF36yal8

Подписаться

Ограничения мощности центра обработки данных Serverius



Я надеюсь, что это сообщение найдет вас хорошо.

Мы обращаемся к вам, чтобы сообщить вам о недавнем событии, которое повлияет на наши центры обработки данных DC1 и DC3. Наш сетевой оператор сообщил нам, что текущая мощность местной электросети достигла предела. В результате мы в настоящее время не можем обеспечить увеличение энергопотребления в этих местах и должны срочно попросить вас сохранить энергопотребление на текущем уровне или снизить его, где это возможно.

Мы понимаем, что эта новость представляет собой проблему, особенно в то время, когда ваша деятельность может потребовать дополнительных ресурсов. Будьте уверены, что из-за нехватки доступной пропускной способности у оператора сети мы вынуждены принять эту меру, чтобы защитить целостность и непрерывность обслуживания всех наших клиентов.

Наша команда активно изучает все возможные решения и тесно сотрудничает с операторами сетей, чтобы понять график и масштаб любых потенциальных улучшений и расширений сети, которые могут обеспечить будущее увеличение доступности электроэнергии.

В то же время мы обязуемся:
  • Предоставление регулярных обновлений по мере получения дополнительной информации от сетевых операторов.
  • Предложение поддержки и изучение альтернативных решений в рамках наших текущих возможностей для удовлетворения ваших потребностей, включая предоставление мощностей за пределами двух регионов.
  • Постарайтесь обеспечить надежность и производительность наших услуг максимально в рамках существующих ограничений и в пределах наших возможностей.

Мы понимаем критический характер этих услуг для вашего бизнеса и стремимся помочь вам любым возможным способом в этот период, насколько это возможно. Если у вас есть какие-либо неотложные вопросы или вы хотите обсудить это подробнее, пожалуйста, не стесняйтесь обращаться в нашу службу поддержки клиентов. Мы ценим ваше понимание и сотрудничество в решении этой ситуации. Благодарим вас за ваше постоянное доверие к нам как к поставщику услуг.

С уважением, Сервериус

Cloudflare — требуется действие, предстоящее изменение цепочки сертификатов Let's Encrypt



Мы обращаемся к вам, чтобы сообщить вам о предстоящем изменении, которое повлияет на совместимость устройств с сертификатами Let's Encrypt, выпущенными после 15 мая 2024 г. Мы обращаемся к вам, поскольку мы определили, что вы в настоящее время используете сертификаты Let's Encrypt через Universal SSL, Advanced. Диспетчер сертификатов, специальные сертификаты или SSL для SaaS. Мы рекомендуем вам ознакомиться с изменением Let's Encrypt и заранее внести все необходимые изменения.

Обзор изменений
Let's Encrypt выдает сертификаты через две цепочки: корневую цепочку ISRG X1 и корневую цепочку ISRG X1, перекрестно подписанную корневым центром сертификации DST X3 компании IdenTrust. Цепочка с перекрестной подписью позволила сертификатам Let's Encrypt завоевать широкое доверие, в то время как чистая цепочка за последние 3 года обеспечила совместимость с различными устройствами, в результате чего количество Android-устройств, доверяющих ISRG Root X1, увеличилось с 66% до 93,9%.

Let's Encrypt объявила, что срок действия цепочки с перекрестной подписью истекает 30 сентября 2024 года. В результате Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью 15 мая 2024 года.

Влияние
Истечение срока действия цепочки с перекрестной подписью в первую очередь повлияет на старые устройства (например, Android 7.0 и более ранние версии) и системы, которые полагаются исключительно на цепочку с перекрестной подписью и не имеют цепочки ISRG Root X1 в своем хранилище доверенных сертификатов. Это изменение может привести к сбоям проверки сертификатов на этих устройствах, что потенциально может привести к появлению предупреждающих сообщений или проблемам с доступом для пользователей, посещающих ваш веб-сайт.

Влияние на сертификаты, выданные через Universal SSL, Advanced Certificate Manager или SSL для SaaS:
  • Чтобы подготовиться к истечению срока действия ЦС, после 15 мая Cloudflare больше не будет выдавать сертификаты из цепочки с перекрестной подписью. Сертификаты, выданные до 15 мая, будут по-прежнему выдаваться клиентам с цепочкой с перекрестной подписью. Сертификаты, выпущенные 15 мая или позже, будут использовать цепочку ISRG Root X1. Кроме того, это изменение влияет только на сертификаты RSA. Это не влияет на сертификаты ECDSA, выданные через Let's Encrypt. Сертификаты ECDSA сохранят тот же уровень совместимости, который они имеют сегодня.

Влияние на сертификаты, загруженные через пользовательские сертификаты:
  • Сертификаты, загруженные в Cloudflare, объединяются в цепочку сертификатов, которую Cloudflare считает наиболее совместимой и эффективной. После 15 мая 2024 года все сертификаты Let's Encrypt, загруженные в Cloudflare, будут объединены с цепочкой ISRG Root X1 вместо цепочки с перекрестной подписью. Сертификаты, загруженные до 15 мая, будут продолжать использовать цепочку с перекрестной подписью до тех пор, пока этот сертификат не будет продлен.

Важные даты
15 мая 2024 г.: Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью. Кроме того, пользовательские сертификаты Let's Encrypt, загруженные после этой даты, будут связаны с цепочкой ISRG X1 вместо цепочки с перекрестной подписью.
30 сентября 2024 г. Срок действия цепочки центров сертификации с перекрестной подписью истечет.

Рекомендации:
  • Чтобы уменьшить влияние этого изменения, мы рекомендуем предпринять следующие шаги:
  • Измените центры сертификации. Если ваши клиенты отправляют запросы к вашему приложению с устаревших устройств и вы ожидаете, что это изменение повлияет на них, мы рекомендуем использовать другой центр сертификации или загрузить сертификат из выбранного вами центра сертификации.
  • Мониторинг. После внедрения изменения мы рекомендуем отслеживать ваши каналы поддержки на предмет любых запросов, связанных с предупреждениями о сертификатах или проблемами доступа.
  • Обновите хранилище доверенных сертификатов. Если вы контролируете клиентов, подключающихся к вашему приложению, мы рекомендуем обновить хранилище доверенных сертификатов, включив в него цепочку ISRG Root X1, чтобы предотвратить влияние.

Добавлены снимки виртуальных машин (снапшоты) для всех тарифов VPS

С 10 марта 2024 года добавлена возможность создавать снимки (снэпшоты) виртуальных машин для всех тарифов VPS — до 3 снимков на одну виртуальную машину.

Напомним, что снимки виртуальных машин не заменяют резервного копирования. Это инкрементальные снимки, и полной гарантии сохранности данных на них нет.

Эта функция подойдет для внесения изменений в машину и последующего возврата к предыдущей версии, если что-то пойдет не так.

Однако, она не подойдет для полного отказа от резервного копирования, поскольку данные хранятся на локальном диске, связанным с виртуальной машиной, и хранят только часть данных (изменения, внесенные до изготовления снимков). При удалении виртуальной машины или потере данных на ее диске, восстановить машину целиком не получится, и данные также будут утеряны.



www.robovps.biz/

Оперативная память до 192 Гб!



Теперь при заказе серверов на базе высокочастотных процессоров можно выбрать конфигурацию с объёмом оперативной памяти до 192 Гб. Увеличенный объём RAM доступен на следующих моделях процессоров: Intel Core i9-13900K (до 5.8 ГГц, 24 ядра) и i9-14900K (до 6.0 ГГц, 24 ядра), а также AMD Ryzen 9 7950X (до 5.7 ГГц, 16 ядер).

Особенности платформы:
  • система жидкостного охлаждения;
  • накопители: до 4 HDD/SSD и до 2 NVMe;
  • бесплатный выделенный адрес IPv4;
  • бесплатный гигабитный канал (до 30 Тб).
Оформить заказ можно в конфигураторе на нашем сайте, сервер будет готов уже в течение 24 часов.
https://1dedic.ru/

Облачные серверы в Москве



Открыли возможность создавать облачные серверы в Москве. И вместе с этим опцию создавать их без IP-адреса.

Москва — наш третий инфраструктурный регион в России.

Мы тщательно подбирали площадку и остановились на IXcellerate Moscow South. Это современный Tier III со всеми передовыми технологиями резервирования и защиты данных.

Первое отличие новой локации — гигабитный канал. Это в 5 раз больше Питера, и в 10 больше Новосиба. На канал даем 64 терабайта трафика в месяц бесплатно. Этого с головой хватит на большинство задач и в то же время не даст забить канал чем-то ненужным. Превышение платное — 200 руб/Тб.

Второе — возможность создавать серверы без внешнего IP, исключая их стоимость из цены. Например, если вам нужен сервер в приватной сети (скоро добавим) без внешнего IP, стоимость начинается всего от 150 рублей.

Минимальная конфигурация стандартная: 1 CPU, 1 Гб RAM и 15 Гб NVMe. Обойдется в 300 рублей в месяц вместе с IP. Максимальная — 8 CPU, 16 Гб RAM, 160 Гб NVMe — в 4 200 рублей.

Произвольные тоже на подходе, скоро добавим.
timeweb.cloud/my/servers/create?location=ru-3&zone=msk-1&preset=4795&os=79

«Поздравляем с терабитом». Та самая статья про DDoS-2023 — без цензуры





Дисклеймер ↓
Этот материал должен был выйти в декабре 2023, прямо перед Новым годом, — и это классический пример про «лучшее враг хорошего». Сначала нам не нравилось, что мало подробностей. Потом — что их излишне много. Была версия с цитатами, но без скринов. Со скринами, но без цитат. Мы записали столько интервью с сетевиками, что сами в них запутались.

Но в итоге сегодня наша статья наконец-то выходит в свет. Из цензуры — только внимательная рука корректора. Передаем слово Максу Яковлеву.

Меня зовут Максим, я руковожу отделом сетевых инженеров в Таймвебе. Как вы уже поняли из заголовка, речь пойдет про наш прошлогодний DDoS. Это не стандартный постмортем, а скорее история от первого лица. Расскажу и покажу, каково это было изнутри — жить на энергетиках и пересобрать ядро сети всего за пару месяцев.



❯ Некоторое время до
Про Таймвеб вы, скорее всего, знаете. И скорее всего — как про хостинг, работающий по модели shared, с саб-сервисами вроде регистрации доменов, конструктора сайтов и пр. Еще есть облако, выросшее из хостинга, — о нем и пойдет речь.

В 2023 мы начали потихонечку распиливать легаси-сеть хостинга и делать ее похожей на сеть IaaS-провайдера. Но в целом архитектура на момент дня Х была довольно типичной для хостинга: несколько маршрутизаторов, стопка растянутых VLAN, три транзита и пара обменников.

В хостинговом бизнесе объем каналов рассчитывается от объема общего трафика на сеть, плюс запас на случай аварий и атак, обычно не превышающий 10х от трафика в ЧНН. Отсюда выстраивается защита инфраструктуры и клиентов: оценивается максимально ожидаемая совокупная мощность атак, берется небольшой запас и подбираются механизмы противодействия, чтобы и отдельного клиента защитить, и самим при этом не упасть.

Важно понимать, что любой типичный хостинг находится под DDoS-атакой практически 24/7: хоть одного клиента в каждый момент времени да атакуют. Поэтому DDoS для нас — это даже несколько банально. За 17 лет мы повидали много чего и в принципе знаем ключевые (и не только) паттерны, откуда, что, куда и как.

❯ Добрый вечер
14 сентября, ближе к 18:00, в нас влетел очередной DDoS, с которым известно что делать. Отбили — пошли отдыхать. И не успел я допить чай, как атака повторилась, потом опять, а потом еще раз. Каждый раз интервал уменьшался, а объем нарастал.

Скриншот от StormWall в тот момент

Далее для любителей краткого изложения перечислю возникшую причинно-следственную связь по инфраструктуре.

В площадку наливается больше, чем та способна переварить → роутеры перегружаются вплоть до потери сигнализации → мы через OOB блокируем атаку через RTBH/FS или переключаем сеть на сторонний центр очистки трафика → цель атаки меняется в течение пяти минут.

Из дополнительных проблем в СПб: аплинки подключены через свитчи с переподпиской, QOS или не работает, или не хватает буфера → разваливается сигнализация. Дополнительно существуют громадные растянутые VLAN, из-за чего атака на одну подсеть затрагивает огромное количество клиентов. Мониторинг и контрмеры работают слишком медленно.

Иногда приходилось расставлять приоритеты

И в остальных локациях: нет своей сети, а ЦОДы нас блочат, защищая свою инфраструктуру. Когда сеть отдается напрямую с железок дата-центра, нет не то что возможности заблокировать атаку, затруднена даже идентификация паттерна: раз — и ноды отвалились. Из доступной информации только триггер в Заббиксе. Самые печальные моменты — когда у нас сутками лежало несколько локаций целиком и наглухо. Даже аплинки наших провайдеров в дата-центрах просто говорили, что мы не готовы это фильтровать, поэтому мы вас отключаем. Как атаки прекратятся, подключим обратно.

❯ Мы накидываем план
Первое: научиться блокировать хотя бы часть атаки на уровне маршрутизаторов провайдеров. Цель — снизить воздействие на клиентов, защитить инфраструктуру. Второе: научить нашу сеть переваривать всю аплинковую емкость без спецэффектов, параллельно ее расширяя.

По железу: разобрать кучу мелких маршрутизаторов и поставить шасси, расширить каналы или пересадить их напрямую на роутеры либо убрать переподписку. Параллельно: доработать DDoS-защиту до состояния, когда мы можем блокировать атаку быстрее, чем это заметят клиенты, на которых не идет паразитный трафик.

И стратегически: построить свои сети во всех локациях. И собственную защиту.

В первую очередь отказываемся от существующей системы подавления DDoS, потому что она приносит больше вреда, чем пользы. Сетевики начинают спать по очереди, текущий flow-мониторинг меняем на семплированный Inline IPFIX с payload-ом. Таким образом не ждем, пока соберется поток, и принимаем решения за секунды. Этот шаг помог уменьшить среднее время обнаружения каждой атаки: чтобы понять, что она началась и как нужно действовать, нам сначала нужна была пара минут, чуть позже — 15 секунд, а сейчас автоматика реагирует почти мгновенно.

Рабочая обстановка

Изначально управление было ручным, чуть позже принятие решений стало автоматизированным: мониторинг научился блокировать DDoS сразу же после обнаружения. В итоге за период с 14 по 20 сентября мы заблокировали более 20 тысяч отдельных паттернов.

В это время по всем каналам — в телеге, в соцсетях, в тикетах — клиенты переживали, ругались и задавали вопросы. И я их прекрасно понимаю. Кстати, о прекрасном:


Дорабатываем защиту: делаем ее быстрее, технологичнее, чтобы принимала максимально правильные решения. Разбираем всю старую архитектуру и избыточные куски сети — все под нагрузкой и идущими атаками и так, чтобы воздействие на клиентов было минимальным.
Примерно в это же время атакующие понимают, что мы что-то сделали, поэтому меняют паттерны. Мы стали получать мощные краткосрочные волны трафика, на которые не успевала реагировать ни наша программа, ни большинство предлагаемых на рынке защит: заливало настолько разнообразно и быстро, что наши стыки и некоторые обменники начали складывать в нас сессии по prefix-limit. В эти периоды бывало и такое:


❯ Строим свою сеть
Начинаем с Питера. План включал в себя апгрейд маршрутизатора с установкой дополнительных плат и подключение к различным каналам и точкам обмена трафиком. Цель — увеличить пропускную способность: нам нужно было научиться принимать трафик атак и блокировать более точечно, а не просто кидаться блекхолами и снимать префиксы. Кроме того, стало понятно, что объемы атак могут расти и нам нужно будет научиться расширять емкость более оперативно, не проходя весь цикл «найти железо → найти емкость → собрать».

Главный роутер в СПб. На скрине MX480 в составе 2xSCBE2, 2xRE-S-2X00x6, 4xMPC7E MRATE

Обычные маршрутизаторы не всегда эффективны для такой деятельности: они обладают слишком сложным и дорогим конвейером обработки трафика, предназначенным для других задач. Исходя из этого мы решили действовать комплексно: помимо расширения каналов и увеличения портовой емкости сервисных и пограничных маршрутизаторов начали внедрять пакетные платформы на базе Juniper PTX. Они хоть и попроще, но в них много дешевых 100G/400G-портов, как раз то, что нам нужно.

Благодаря хорошим отношениям с поставщиками мы смогли быстро найти сетевое оборудование: поставка заняла всего полтора месяца. Для техники такого класса это очень быстро.

В итоге в Питере мы добили емкость по основным направлениям до 500+ гбит, а по автономке у нас сейчас суммарно около терабита. Уже через две недели после этого ситуация в СПб стабилизировалась: емкости хватало, фильтры отрабатывали оперативно. В остальных локациях сеть была арендованная: и в Казахстане, и в Европе. По этой причине параллельно с выравниванием ситуации в Питере у нас появилась новая приоритетная задача: поставить в заграничные локации собственные маршрутизаторы и дотянуться до них из Питера — тянуться решили через M9.

Девятка до сих пор крупнейшая пиринговая точка и сосредоточение телеком-инфраструктуры РФ и СНГ. Кроме основных трасс для всей России, туда же заходят каналы от СНГ — зачастую единственные.

Магистральные каналы между площадками дают несколько преимуществ:
  • Возможность отправлять и получать трафик через любые другие стыки Таймвеба во всех странах.
  • Возможность предоставлять клиентам дополнительные сервисы в виде каналов связи.
  • Наше управление не развалится никогда, даже если внешние стыки в локации будут забиты под полку.

Собственно, начинаем с Казахстана. Протянули канал до девятки и пустили трафик уже через свою сеть.


MX204 на девятке, собирает магистрали и внешние линки. Скоро заменим его 960-м и будем забивать сотками

Кстати, с доставкой в Казахстан повезло не с первого раза. На казахской таможне менялся состав — и все встало мертвым грузом. Ситуацию решили творчески: отправили одного из наших сотрудников везти 204. Забавно, что изначально мы собирались отправлять MX104 — довольно старую и давно снятую с поддержки платформу, которой, впрочем, с запасом хватает на нужды этой площадки.

MX104 со склада — кусочек истории телекоммуникаций

Но из-за ее громоздкости отправили 204 — и теперь в казахстанском ЦОДе у нас стоит платформа, которой хватит на целый машинный зал облака, а не на наши несколько стоек. На память осталась только фотка со стикером из аэропорта Екб:


К декабрю дотянулись и в Европу: теперь у нас есть узлы во Франкфурте и Амстердаме с арендованной магистральной емкостью. Там появились выходы и в интернет — через Tier-1 операторов, и на европейские обменники.

Следующий логичный шаг — перевели площадки в Амстердаме и Польше на свою сеть. Теперь нас никто не отключит в случае атак, как бонус — интернета стало больше и появились выделенные каналы для клиентских выделенных серверов, скоро будут и во всем Клауде. В итоге вы сможете не только заказать себе сервер с 10G-интернетом, но и расширить локальную сеть до любой нашей точки присутствия — с гарантированной полосой и любыми удобными вам настройками.

Раз уж пошли по локациям, то добавлю, что в этом году запустились и в Москве, в IXcellerate. Это Tier-3 с уникальной системой охлаждения по типу «холодная стена». Я там был на экскурсии — наверное, самое интересное, что я видел в России и СНГ, а поездил я немало. Пиво еще вкусное у них было — тоже плюс.

Москва, кстати, у нас сразу же запустилась с нормальной архитектурой: широкие линки на стойку, 200G до девятки, масштабируемый слой агрегации. По умолчанию даем на все виртуальные серверы по гигабиту в секунду вместо 200 мегабит, на всех дедиках доступно 10G/40G по запросу. В результате, если клиентам это необходимо, мы можем дать гораздо больше емкости, чем могли бы в Петербурге еще полгода назад.

2xQFX5120-32C в IXcellerate

❯ Почему мы не спрятались за подрядчиками
На самом деле мы обращались к нескольким компаниям, но на тот момент уже стало понятно, что у нас не получится использовать их как общее средство защиты для всей сети.

Решения по комплексной защите от DDoS, по сути, делятся на два вида: это готовые решения, устанавливающиеся непосредственно на сети компании, и сторонние центры очистки трафика, через которые этот самый трафик нужно пропускать. На тот момент у нас существовали собственные чистилки и был опыт постройки подобных решений. Посоветовавшись с коллегами по цеху, решили двигаться именно по такому сценарию: принимать трафик → очищать большие потоки на уровне сети, привлекая центры очистки в отдельных случаях → заниматься тонкой очисткой с помощью вендорских решений.

Важно отметить, что при использовании внутренних решений для защиты от DDoS необходима сеть, способная обрабатывать и фильтровать трафик, не затрагивая других клиентов или локации. То, что отфильтровать не удалось, должно быть направлено на системы тонкой очистки с минимальной задержкой и воздействием на чистый трафик.

Необходимо было сначала усовершенствовать сеть до этого состояния, а затем заниматься внедрением коробочных решений. Мы переводили атакуемые подсети в партнерские центры очистки, хоть иногда это больше аффектило на нормальный трафик, чем помогало.

Такое положение дел было связано с характером самого трафика и с тем, что атаки были короткими и частыми: классифицировать «чистый» трафик в подсети, состав серверов которой меняется от недели к неделе, если не чаще, — малореально. А переключить маршрутизацию за время между атаками часто и вовсе не получается: цели меняются быстрее, чем BGP-апдейты распространяются по интернету.

❯ Что сейчас
Подобные атаки прилетают, но в целом мы научились их фильтровать: чистить на уровне сетевого оборудования или деприоритизировать/блокировать клиента, если объем превышает пороги.

Работы еще много: всю эту новообразовавшуюся сеть нужно резервировать и расширять. На М9 мы взяли целую стойку и собираемся ставить шасси MX960 — с большим запасом на будущее. Оно будет выполнять роль магистральной развязки, принимать внешние стыки и выступать ядром сети дата-центров по Москве, у нас там большие планы. Не забываем и про Северную столицу: платформа PTX10003 станет ядром нового узла на Кантемировской («Радуга»), где будет перемыкать магистрали и стыки с внешними сетями, выступая частью инфраструктуры очистки трафика в Санкт-Петербурге.

Находимся на этапе тестирования с Servicepipe: будем пробовать систему уже тонкой очистки трафика — если атака на клиента не угрожает инфраструктуре, не полностью все блокировать, а принимать трафик атак на себя и отдавать клиенту уже очищенный, вплоть до L7.

Много работы будет по пирингам: думаем, что скоро мы сделаем прямые подключения к Google, AWS, Azure и другим гиперскейлерам. Хотим организовывать серьезные продуктовые преимущества для наших клиентов: если ваш продукт требует очень хорошей связности с мировыми облаками или у вас мультиклауд — мы сможем обеспечить как хорошую связность по интернету, так и выделенные линии, если потребуется.

Для выделенных серверов по части сети у нас получилось очень интересное предложение. По запросу скорости мы даем вплоть до 100—200 гигабит на сервер, так мало кто умеет. Кроме простого интернета — широкий набор сетевых решений: тут и более-менее стандартные L2/L3 VPN на MPLS, и любые манипуляции с внешней маршрутизацией. Для владельцев своих AS соберем транзит, притянем любую популярную точку обмена трафиком. Для тех, кто хочет ими стать, — поможем выпустить ASN, арендовать или купить сети, анонсировать их в мир.

Глобально у нас были компетенции, ресурсы и возможность их тратить на инвестиции в сеть, были контакты и налаженные взаимоотношения с огромным количеством людей. Все это очень сильно нам помогло.

❯ И напоследок — неудобный вопрос от маркетинга
Почему не начали делать все это раньше, а триггером стало то, что на нас пришла атака?
Расширение в целом планировалось, Таймвеб всегда делал упор на качество сети, но процесс шел постепенно. Исторически мы сфокусировались на нашем центральном хабе в СПб, а стройка в остальных локациях планировалась по мере их расширения.

А почему атаки стали триггером? Все банально. Во-первых, мы поняли, что начали расти сильно быстрее, чем планировали. Стало понятно, что нужно больше емкости, больше сервисов — и не когда-то, а сейчас. Во-вторых, появились новые угрозы, которые не отражаются стандартными средствами. В какой-то момент мы переросли «стандартные» подходы, которые мог бы использовать игрок меньшего размера, — нужно было пилить какой-то кастом или средствами сторонней компании, или самостоятельно. Мы выбрали второе.