Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

jaki system antyDDoS dla hostingu


smarthost
 Udostępnij

Rekomendowane odpowiedzi

mam pytanie branżowe - jakie systemu antyDDoS używacie/polecacie ?

 

Większość, jakie przeglądam bazują na blackholingu bgp i dotyczą ataków wolumetrycznych i ochraniają głównie sieci dostępowe. 

 

Potrzebuję czegoś chroniącego hosting - czyli raczej dropowanie niepoprawnych pakietów,  popsutych pakietów TCP (same syn, itd). Raczej nie na dużą ilość połączeń, ale na specyficzne ataki np. nagle bardzo dużo połączeń na Apache na port 443, ale w trybie http/1.1 z IP bez revów z dalekiej zagranicy (Vietnam, Filipiny itd). 

Chodzi mi o pewnego rodzaju automat, może być maszynka. 

 

Testowałem:

Wanguard (polecany przez EPIX), ale on się nie nadaje dla hostingu, bo po wielu konsultacjach z supportem ostatecznie stwierdzili, że oni głównie chronią sieci dostępowe i ataki wolumetryczne. 

Watchguard (Firebox 270), też mam wrażenie, że się nadaje tak sobie - testy trwają, ale to jest bardzo mocno "czary-mary" - że niby samo się dzieje. Po podłączeniu przed jeden z serwerów, serwer zniknął z internetu całkiem :-)

 

Co jeszcze można obejrzeć ?

 

w.

 

  • Lubię 1
Odnośnik do komentarza
Udostępnij na innych stronach

Cześć,

szczerze mówiąć nie lubię zbyt ogólnego określenia "AntyDDoS" - nie jest ono dokładne, gdy mówimy o konkretnych rodzajach "ataków".

Wdrażam autorskie rozwiązania, zarówno te oparte o software, czy (sprytny) hardware. Wolumetrycznie dużo zależy od łącza i styków w danej lokalizacji, lecz również na tym polu dużo można "ugrać". Wanguard jest rozwiązaniem znanym od paru ładnych lat, zaś czas poszedł troszkę do przodu i mamy np. rozwiązania oparte o DPDK - np. takie z których korzysta ATM: 



Nie jest to czas i miejsce na "chwalenie się" konkretami. Jeżeli potrzebujesz konkretnego rozwiązania, moge przygotować ofertę, gdyż nie wdrażam ich na wyłączność, ale ze względu na to, że są to mocno "customowe" rozwiązania (również hardware'owo), jestem zobligowany do nie chwalenia się nimi publicznie 😉

  • Lubię 1
  • Super! 1
Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 miesiące temu...

Na swoim hostingu wdrożyłem płatne Imunify360. Muszę powiedzieć, że jestem bardzo zadowolony. Szczególnie jeśli chodzi o ukrócanie jakichkolwiek prób ddosowania.

 

Ale jeśli chodzi o security, to nigdy nie można być wystarczająco zadowolonym, tylko czuwać. Testuję jeszcze kilka rozwiązań, ale na razie mam je na uwadze tylko. A oprócz tego hardening, hardening, hardening, hardening i jeszcze raz hardening.

  • Zaskoczony 3
Odnośnik do komentarza
Udostępnij na innych stronach

Dnia 14.01.2020 o 00:44, miloszryckobozenski napisał:

Na swoim hostingu wdrożyłem płatne Imunify360. Muszę powiedzieć, że jestem bardzo zadowolony. Szczególnie jeśli chodzi o ukrócanie jakichkolwiek prób ddosowania.

 

Ale jeśli chodzi o security, to nigdy nie można być wystarczająco zadowolonym, tylko czuwać. Testuję jeszcze kilka rozwiązań, ale na razie mam je na uwadze tylko. A oprócz tego hardening, hardening, hardening, hardening i jeszcze raz hardening.


Imunify360 korzysta z regułek modsec'a z tego co wiem - to nie jest "ochrona AntyDDoS" tylko aplikacyjna - autorowi wątku chodziło o warstwę bgp. Czy można zapytać, w jaki sposób "utwardzasz" swoje hosty? Pytam, bo znam tylko kilka osób poza mną, które np. stosują do dnia dzisiejszego patche GRSecurity, albo istotnie potrafią produkcyjne usługi szczelnie "zamknąć" za pomocą RBAC'a - ale to dalej nie ma nic wspólnego z "ochroną AntyDDoS", chyba że piszesz moduły do manipulacji stosu sieciowego, o których nie wiem.

  • Lubię 1
  • Super! 1
Odnośnik do komentarza
Udostępnij na innych stronach

Dnia 13.01.2020 o 23:44, miloszryckobozenski napisał:

Na swoim hostingu wdrożyłem płatne Imunify360. Muszę powiedzieć, że jestem bardzo zadowolony. Szczególnie jeśli chodzi o ukrócanie jakichkolwiek prób ddosowania.

 

Ale jeśli chodzi o security, to nigdy nie można być wystarczająco zadowolonym, tylko czuwać. Testuję jeszcze kilka rozwiązań, ale na razie mam je na uwadze tylko. A oprócz tego hardening, hardening, hardening, hardening i jeszcze raz hardening.


Nie ma darmowego Imunify360 tylko jest wersja próbna, druga sprawa Imunify360 to jedynie są rulesety, które nie mają nic do ochrony AntyDDoS, jedynie mogą wyłapywać proste ataki aplikacyjne, ale nawet do Wafa porządnego to się nie nadaje.

Bo co ci da Imunify360 jak ktoś cię zaatakuje Layer 7 Proxy, bądź tym bardziej Bypass, i całe twoje łącze jest zapchane i usługa pada, już nie mówię o zasobach.

  • Lubię 2
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.