V dnešním článku nejen zodpovíme vaše otázky ohledně naší DDoS ochrany, ale také se dozvíte o několika plánovaných novinkách. Na některé otázky nelze odpovědět detailně, abychom moc neprozradili. Děkujeme za pochopení.
Otázky ze sociálních sítí a odpovědi
Na VPS mám připlacenou službu Ochrana proti DDoS útoku, ale tak nějak mi chybí kontrola nad tím, jestli tato ochrana funguje … plánujete do budoucna nějaké webové rozhraní se statistikama o DDoS útocích na konkrétní VPS?
Ano, plánujeme, že informace budou přímo v administraci a bude si možné přikoupit i výkonnější filtraci nebo speciální pravidla.
Jak je to s ochranou VPS? (jak funguje)
Aktuálně je to tak, že u VPS se při určitých úrovních aktivuje DDoS ochrana a provoz filtrujeme. Pokud je útok silnější, než máme stanovené hodnoty, tak situaci řešíme různými omezeními provozu (omezení přenosového pásma, blokace určitého protokolu, blackholing apod.) tak, aby nedošlo ke komplikacím u ostatních klientů. Detaily zveřejníme v okamžiku, kdy budeme nabízet více informací přímo v administraci VPS.
Během zimy chceme nabídnout možnost si přikoupit lepší ochranu nebo individuálně nastavenou ochranu nebo ochranu až do nějaké úrovně (například filtraci 3 Gbps). Mezi zajímavé novinky bude určitě patřit i to, že budeme nabízet možnost přikoupit si ochranu na jednotlivé země (buď si určitou zemi povolíte nebo naopak zakážete). To bude zajímavé například na služby, které jsou zaměřené na český a slovenský trh. Provoz z ostatních zemí můžete omezit a tím svůj web ochráníte přes většinou pokusů.
Od jaké síly útoku zablokujete přístup k IP adrese z internetu?
Tohle je velmi individuální, každý útok je jedinečný. Liší se to podle typu útoku a následků. Někdy jsou problémy již při malém provozu v řádu desítek kbps a jindy naopak nevadí provoz i několika Gbps.
Zaznamenali jste útok, který neumíte odfiltrovat?
S tím se samozřejmě setkáváme. Jsou stále nové a nové druhy útoků. Každou neznámou hrozbu se snažíme analyzovat a upravit vše tak, aby to příště bylo automaticky blokované. Je to neustálý vývoj, který zabere obrovské množství času.
Psali jste že už bylo 300.000 útoků za 2 roky. Tomu moc nevěřím. Co počítáte jako útok?
Nemáme důvod si vymýšlet počty útoků. Jako útok počítáme chování sítě, kdy jsou výrazně (mnohonásobně) překročené hodnoty běžného provozu. Sledujeme provoz v síti celkově, sledujeme a měříme provoz v jednotlivých segmentech a sledujeme a měříme provoz na jednotlivé IP adresy. To vše se vyhodnocuje online a porovnává s předem nastavenými hodnotami, případně se to porovnává s hodnotami jež považujeme za běžný provoz v uvedenou dobu a den (jiný provoz ve dne a jiný noci apod.).
Nově zavedená IDS/IPS ochrana odchytává až stovky požadavků za sekundu. To je jiná forma ochrany a ta četnost útoků je mnohonásobně vyšší.
Jaké servery a routery pro ochranu používáte? Jejich výkon a konfigurace?
Aktuálně to máme trochu nešťastně řešené, protože jsme ochranu budovali postupně a vlastně jsme nevěděli co potřebujeme a jak to nakonec bude. Takže jsme kupovali servery postupně a vzhledem k naléhavosti jsme kupovali to, co bylo okamžitě k dispozici. Kdo si vzpomíná útoky z roku 2014, tak chápe naléhavost situace. Servery mají silné procesory XEON a to co nejvíce jádry a vlákny (2×20) a o nejvyšší frekvencí. Celkově je tam přes 1 TB RAM a několik TB prostoru pro data k následné analýze. Vše má síťové karty 10Gbps, přičemž v některých serverech je jich například 6 (takže uvedený server může řešit situace až do 60 Gbps).
Vše chceme postupně nahradit jednotným řešením HW, protože je to jednak nesystémová věc v naší infrastruktuře. Ostatní servery máme vždy identické a lépe se to servisuje a upgraduje.
Ochrana IDS/IPS je tvořena našimi “běžnými” servery a aktuálně to jsou 4 servery, kdy každý má 2×20 vláken CPU a k tomu 384 GB RAM a SSD disky na logy (je tam několik TB dat s informacemi o útocích každý den).
Je DDoS ochrana také redundantní?
Částečně. Ochrana chrání všechny naše uplinky. Aktuálně máme 3 optické trasy a na každé z nich umíme filtrovat. Nyní budeme mít 4 linku a připravujeme se, že během jara nasadíme 100 Gbps. Pokud by došlo k výpadku některého prvku, tak by aktuálně mohlo docházet k drobným zpožděním nebo nedokonalé filtraci, protože každý server má za úkol trochu něco jiného a vzájemně se doplňují. Plná redundance bude v okamžiku, kdy nasadíme nové servery a současné budou použity jako záložní řešení.
Zároveň při nasazení 100 Gbps bude nutné provádět balancování a to již bude zajišťovat plnou redundanci všech prvků.
Mám managed server u konkurence, protože tohle nenabízíte, ale DDoS ochranu neumí tak jak bych si představoval. Neplánujete DDoS ochranu jako službu? Kolik by to stálo?
Myslíte DDoS ochranu jako službu? To chceme začít nabízet jakmile budeme mít trasy 100 Gbps (někdy na jaře).
Managed služby budeme mít u VPS, respektive budeme mít kontajnerové řešení webhostingu a VPS. Intenzivně to připravujeme. Tam potom budou další možnosti DDoS ochrany.
Spolupracujete v rámci budování DDoS ochrany s dalšími firmami? Dělíte se s někým o výsledky? Mohlo by to pomoct
Aktuálně s nikým nespolupracujeme. Zvažovali jsme vstup do nějakých projektů, ale vesměs to bylo tak, že naše data a informace by byly přínosné pro ostatní, ale ostatní nám nenabízejí protihodnotu. Uvidíme jak to bude do budoucna. Spolupráci se nebráníme.
Trochu z historie útoků na WEDOS
Jak to začalo?
https://datacentrum.wedos.com/a/353/nas-nedogonjat-aneb-wedos-pod-ddos.html
Jak to pokračovalo:
První rekordy
IPv6
https://datacentrum.wedos.com/a/366/vyjadreni-k-problemu-s-konektivitou-u-vps-dne-12-08-2016.html
Vylepšujeme:
https://datacentrum.wedos.com/a/363/nova-idsips-ochrana-u-wedos.html
Další otázky k DDoS ochraně?
Pokud máte otázky, tak se nebojte nám napsat na sociální sítě nebo do komentářů pod článkem. Následně odpovíme. Pokud máte zájem se ptát na IDS/IPS ochranu, tak samozřejmě můžete. Jsou to mimořádně zajímavá témata.
Stavíme pro vás druhé datacentrum
Na závěr dodáváme, že intenzivně pracujeme na stavbě druhého datacentra. Již brzo bude v provozu. Informace najdete na http://dc.wedos.com/.