Друзья, как вы, наверное, заметили, в мае было несколько перебоев с доступностью оборудования в дата‑центре Digital Hub. Так вот, это были подготовительные работы к подключению защиты от DDoS. Рады сообщить, что в июне мы подключили защиту от udp и tcp-syn флуда для всех наших клиентов в этом дата‑центре. Это весь виртуальный хостинг, большинство SSD VDS и часть OpenVZ VPS. Защита для вас абсолютно бесплатна!

Напомним также, что уже с конца апреля наши dns-серверы ns1.ihc.ru и ns2.ihc.ru физически находятся в разных географических точках планеты и защищены разными antiddos-сервисами.

P.S. Вот такую атаку недавно отбили совершенно незаметно для клиентов.

Добрый день, Друзья, Коллеги, Товарищи ( Конкуренты =) ).

Мы периодически выкладываем свои труды в OpenSource — sprut.io, firststat.ru и хотим продолжить эту славную традицию.

Месяца 3 назад озадачились вопросом DDOS-атак на 4 уровне модели ISO. В данном случае речь идет о SYN/ACK флуде. Мы посмотрели на представленные решения и, в основном, есть две технологии:

SYNCOOKIE:
Суть заключается в том, что вместо записи информации о соединении мы кодируем ее в ACK-пакете в seq + timestamp последовательности с помощью SHA1 и открываем соединение ACK-пакетом при условии валидного ответа. Этот механизм есть в ядре — syncookie добавили его туда в 1998 году и не так давно его вынесли в iptables. На стандартной 1G сетевой карте без тюнинга сетевого стека и оптимизаций сервер начнет умирать с 500000 пакетов в секунду.

SYNPROXY:
Это решение уже на сторонней железке и обычно встраивается в разрыв сети. Файрвол держит информацию о статусе каждого соединения, подменяя seq последовательность в пакетах. Это решение используется в Juniper, F5, Arbor и прочих железках. При включении/выключении рвутся установленные сессии. Из преимуществ, на одном ядре можно выжать очень много пакетов в секунду, так как можно не использовать SHA1. 14М на ядро — это не сложно.

Фактически нам нужно было решение, которое очищает трафик на 4-м уровне, прозрачно подключается, может держать до 40 гигабит флуда и, в принципе, больше ничего не умеет =). При этом у нас есть довольно большой парк серверов, подключенных 1G-линком (и не с самой современной картой), и, откровенно говоря, в 95% случаев это более чем достаточно. То есть городить решение на каждом сервере было не вариант.

Запросив цены в Juniper, F5, Arbor и прочих вендоров, немного выпал в осадок — для наших нужд минимум 40М пакетов просили 120 000$, при этом подчеркнули, что данное железо надо обязательно резервировать.

Предлагал коллегам из других компаний вместе разработать подобное решение. Где-то были зачатки, но начальство было против такой разработки. Кто-то сразу посылал.

На текущий момент мы разработали систему, которая на процессоре e3-1270v3 держит более 10М пакетов SYN/ACK флуда на сетевых картах Intel 520/710 + UDP, ICMP флуд пока линки не забьются. На адекватных процессорах все упирается в линки.

Подключается прозрачно перед сервером и по всем нашим тестам отлично работает. Плюс системы в том, что она не разрывает существующие соединения и почти не требует модификации конечной машины.

И да, я хочу выложить все это счастье OpenSource после того, как все доделаем, протестируем и приведем в божеский вид (как минимум, чтобы править конфиги, а не константы в коде =) ). Я убежден — данный продукт повысит качество предоставляемых услуг, и надеюсь не только нам.

Так как и те, кто организует DDOS (будь то хоть школьник или владелец ботнета), пытаются получить прибыль с не совсем адекватной деятельности, так и те, кто защищает от DDOS, в большинстве своем получают прибыль на страхе перед первыми.

КАК ВЫ МОЖЕТЕ НАМ ПОМОЧЬ?
Нам надо нормально протестировать продукт. У нас пока нет ни GUI, ни системы автоматического развертывания, но есть рабочий прототип и большое желание довести его до ума. Если у Вас есть проекты, которые периодически досят, и небольшой простой им не критичен (простой будет меньше, чем если хостинг его отключит) напишите мне на почту alexey@beget.ru и я расскажу, как его направить на наш прототип. Вы будете бесплатно защищаться от DDOS, а мы в свою очередь будем улучшать продукт, который принесет пользу всем. Обращу внимание — проект продолжит размещаться на старом месте.

Подключили Arbor TMS.
Тех. работы закончены.
Готовы к отражению 100% атак на игровые серверы.

Скидка 50% до 30 апреля
Скидка 50% до 30 апреля — на игровой хостинг:
RUST, CS, SAMP, MTA, ARK, HurtWorld!
Промо код — Arbor
srvgame.ru

И не забываем!
В личном кабинете можно активировать партнерку.
10% ежемесячно cо всех платежей, Вам на баланс ;)
Подарите другу реф ссылку и промо код.

Читать дальше →

Теперь, немого о текущей ситуации и о том, что нами было проделано в последнее время.
По моему ощущению 2016 год пройдет под знаком DDoS. Думаю, что в этом году мы все станем свидетелями огромного количества атак на всё подряд и на всех подряд. Об этом свидетельствуют целый ряд факторов:

1. Мощность средней атаки выросла в 3-6 раз по сравнению с предыдущим годом. По нашей собственной статистике, в 2015 году редкая атака на наши ресурсы превышала 10 Гбит/с. Но буквально с декабря прошлого года средняя сила атак стала 25-30G, а самая крупная атака на нас была почти в 60G.
2. Стоимость подобных атак стала стоить копейки. Буквально за 5$ в месяц, можно купить аккаунт и поливать налево и направо.
3. В этом году уже пошли массовые атаки на различных хостеров, положили не только нас и нескольких коллег по цеху обитающих здесь на серчах, но даже и нынешнего лидера российского хостинга: roem.ru/21-03-2016/221280/regru-fall/ Также, прошли успешные атаки и на другие очень крупные интернет-ресурсы.

Но больше всего в текущем положении дел удручает то, что большинство IT-компаний просто не готовы своими инфраструктурами выдерживать возросшую силу ддос-атак.
Собственно говоря, отсутствие здесь моих комментов на этой неделе было связано как раз с тем, что мною и моей командой были проведены целый ряд ключевых встреч и переговоров по организации защиты нашего ДЦ от DDoS-атак. И самое печальное во всем этом, что вопрос упирается не деньги, а в отсутствие технических возможностей для быстрого развертывания хорошей защиты на необходимом уровне практически у всех, с кем мы общались. Вот несколько примеров:

1. Один из ведущих экспертов по развитию услуг информационной безопасности одного из операторов большой тройки был сильно удивлен, когда мы сказали, что ддосы в 30G на нас это норма, а в пике было и 60. В своей практике он не сталкивался с ддосами больше 25G (везет ему, если бы у нас это было пиковым значением, наверное вообще почти никто не заметил бы из наших клиентов), при этом они активно продвигают свою услугу защиты от ддос, с центром очистки с максимальной пропускной способностью до 80G. Хватит на 1,5 таких клиента как мы .
2. На наше предложение оператору связи №1 в России, расширить с ними стык на М9 с 10 до 80G, сначала долго совещались между собой, потом сказали, что оперативно смогут поднять только до 20G, а к концу апреля только до 40G. Как-то так...
3. Ну о том, как прилег ТТК, когда мы встали под ддос-гвард, я уже писал… Поступало и много других предложений для защиты нас от атак аж до 20G!.. Здорово конечно, но это мы как-нибудь и сами отфильтруем.

В общем кажется мне, что в этом году у многих будут откровения и много SLA полетят в топку ддосов.

В общем то, это было понятно, что надо наращивать инфраструктуру еще в прошлом году. Но, к сожалению, не всегда получается делать все настолько быстро как мне того хочется, мир — достаточно инертная штука ).
Тем не менее, подвижки есть.
Попытка прикрыться ДДоС-Гуардом, оказалась не совсем удачной. Хотя со многими атаками они успешно справились, было несколько, достаточно мощных атак, от которых шатало самих гвардов и их апстримов. С добавлением нас в качестве клиентов, возникло ощущение, что возможности их системы фильтрации были на пределе своих ресурсов (честно говоря, думалось, что мы не очень большой генератор трафика, но видимо, получается, что не маленький).

Также, идея пропускать весь трафик через фильтры оказалась не очень удачной. Хотя это и дает возможность моментальной реакции при начале атаки, возникает очень много ложных срабатываний (из-за этого и происходили спонтанные обрывы сессий).
Тем не менее, мы продолжаем переговоры с гвардами и на понедельник запланирована встреча с ними у нас в офисе на предмет обсуждения альтернативных схем эффективной защиты от атак.
В настоящий момент, мы переключились под защиту от Ростелекома, которая построена на железках одного из лидеров в этой области Arbor Networks. Плюсы — фильтрация трафика происходит только в случае атаки. Минусы — время срабатывания детектора атаки и перевод трафика на очистку может достигать до 5 минут из-за этого и наблюдаются периодические провалы в доступности ресурсов. В течение этой недели нам удалось настроить фильтры на ключевые ресурсы совместно со специалистами из РТ. Некоторые ресурсы были переведены под постоянную защиту.

По этому, если Ваш сайт или сервер атакуют мелкими но частыми атаками, пишите в поддержку, будем вешать их на постоянную защиту.
Закончено тестирование антиддос-железки Radware DefensePro. В целом, наши админы остались довольны тестовым образцом. По этому поставили на заметку к возможному приобретению старшей модели. Однако, ждем железку от Huawei которая должна приехать к нам до 15 апреля на тест. Поскольку ее производительности хватит на закрытие от атак всего ДЦ, финальные тесты попробуем провести на живом трафике, о чем оповестим заранее. По окончании тестов будем определятся с покупкой.
Сегодня (в пятницу), привезли на тест анализатор атак от Инновентики, поставили на стенд, будем проводить испытания.
Анализатор атак понадобится в дальнейшем для выстраивания правильного контура очистки, наподобие того, как это сделано в OVH.

По факту, мы сейчас гоняем трафик только через Ростелеком, в силу того, что другие апстримы не смогли оперативно организовать защиту от атак в своих сетях. К сожалению, это несколько ухудшило нашу прекрасную связанность с другими сетями (отсюда и увеличение пингов по некоторым направлениям). Но к сожалению, без защиты сейчас вообще никак.
Тем не менее, мы уже ведем работы по модернизации нашей сети с целью подготовки контура очистки трафика, пока мы определяемся с покупкой железа для контура, постараемся отдать очистку трафика на аутсорс (например, к тем же гвардам и/или РТ), при этом используя собственные внешние каналы для приема и передачи трафика. Как только закончим работы, связанность будет полностью восстановлена и даже улучшена, за счет подключения новых апстримов.
Параллельно, продолжаем прочесывать рынок на предмет поиска интересных решений в области защиты от атак при большом объеме разнородного трафика.

Разработка новой платформы по защите от DDoS атак близиться к завершению, все тесты которые можно было провести в условиях лаборатории и с тестовыми атаками прошли успешно.
Теперь пришла очередь тестировать защиту в бою. Для тестирования нам нужно несколько серверов для установки и тестирования защиты.

1. Для тех клиентов кто оплачивает защиту и при желании принять тестирование в защите мы установим стоимость защиты равную нулю. Трафик к защищаемым ip адресам будет пущен через новую реализацию защиты.
2. Для тестирования защиты по UDP протоколу нам нужно 2-3 ip адреса и общее количество игровых серверов 20-50. Обязательно должны быть сервера CounterStrike или Rust. Так же интересуют и другие игры.
3. Для тестирования защиты по TCP нам нужны игровые сервера на протоколе TCP, а так же сайты которые часто атакуют ботнетами/syn/ack флудом.

Во время тестирования защиты, все притенении по поводу работы защиты будут приниматься в кротчайшие сроки. Так же мы не гарантируем бесперебойную работу новой реализации, так как в защите могут быть постоянные доработки и ее перезапуск с применением этих самых доработок.

Основные изменения в защите:

• Увеличена производительность по обработке SYN флуда с 4Mpps до 7.5Mpps
• Уменьшена задержка при обновлении правил фильтрации
• Убраны все синхронизации в коде которые были при обработке флуда. Остались только синхронизации на глобальные переменные, такие как лимиты tcp сессий и udp сессий

Задачи которые будут делаться на новой защите в ближайшее время:

• Увеличение производительности TCP коннектов
• Убирание задержки при установке TCP коннектов, задержка случается если трафик со стороны посетителя начинает идти в сторону сервера до того — как защита установит трехступенчатое рукопожатие с защищаемым сервером
• Поддержка работы протокола STP, для того чтобы при рестарте защиты — трафик продолжал идти по резервному линку. В этом случае все UDP проекты даже не заметят падения защиты. К сожалению TCP коннекты в этом случае все равно закроются.

Если Вы готовы участвовать в защите — можете написать нам в лайфчат на нашем сайте или просто написать тикет в биллинге
Количество мест для тестирования ограничено.

Как известно, DDOS атаки могут помешать нормально работать не только сайту, но и бизнесу в целом. Теперь проблема DDOS атак для вас не существует — совместно с DDOS-GUARD мы обеспечили бесплатную защиту от DDOS атак на всех тарифах всех наших услуг. Геораспределенная сеть фильтрации, современное оборудование и инновационное программное обеспечение позволяют нам предлагать высокий уровень обслуживания и предоставлять защиту от DDOS атак до 1.5 Tbps и 120m PPS.

Обратите внимание на некоторые ограничения:

• Мы не можем предоставить защиту политическим сайтам.
• Защита от DDOS атак предоставляется только на время атак. Бесплатная защита предоставляется и снимается по нашим критериям. Переход на защиту и возврат на незащищенный ip может повлечь частичную продолжительную (от 4 до 72 часов) недоступность сайта до обновления DNS.
• При необходимости постоянной защиты, есть возможность получения выделенного ip адреса с защитой. Стоимость услуги 1500 рублей в месяц. Мы особенно рекомендуем заранее включать постоянную защиту сайтам с выраженной сезонностью, например, продавцам шин, подарков, новогодних услуг. Каждый час горячего времени очень дорог, позаботьтесь о нем заранее.

Легитимный входящий трафик не должен превышать 3 мегабит. Превышение оплачивается по цене 1000 рублей за 1 мегабит в месяц*. Исходящий трафик не учитывается.
*При больших объемах входящего легитимного трафика предоставляются индивидуальные скидки

Обновлены тарифы на DDOS защиту — теперь от $99 в месяц! Защитим как домены, сервера так и целые подсети!

www.vdscom.ru/antiddos.php