OVH Community, your new community space.

Proteccion DDoS / ... / ...


davidlig
25/06/2013, 14:58
http://foros.ovh.es/showthread.php?t=11177

graid
25/06/2013, 13:50
"Octava"

Hola,
Como la infraestructura del proveedor de Internet, OVH siempre ha tenido que hacer frente a los ataques de DDoS informáticos, tanto en nuestra infraestructura, los servicios de nuestros clientes. Desde finales de 2010 con el caso de Wikileaks DDoS tienen algunos medios de comunicación y la AMP DNS que se ha generalizado desde principios de 2013, cualquier niño puede lanzar una decenas de DDoS Gbps y poner en práctica una actividad infantil.

Por nuestra parte, hemos desarrollado herramientas de protección en el tiempo con un objetivo simple:
el servicio de protección anti-DDoS no puede ser una opción. En cambio, los clientes se beneficiarán de este servicio de forma predeterminada.

Desde los 3-4 meses que estamos trabajando en un nuevo tipo de protección de las infraestructuras contra DDoS hemos llamado "VAC". VAC como "vacío", es decir, pasar la aspiradora. Deje artista, la idea de aspirar el tráfico proveniente de Internet a sus servicios y sacar los paquetes dañados mientras que permite buenos paquetes.

El MAV1 actualmente en ALPHA, se instaló en Roubaix. Ahora funciona lo suficientemente bien para nosotros explicar lo OVH propondrá a su vez la protección contra ataques DDoS.

El inicio de la beta está prevista esta semana. El 16 de julio, vamos a explicar los servicios de VAC en nuestro sitio web y un nuevo contrato será creado para supervisar el servicio. El objetivo es ser lo más claro posible y brindarle la mayor cantidad de garantías.

Hardware
--------
VAC es una unidad de la mitigación puede limpiar hasta 160Gbps de tráfico / 160Gpps.

Se compone de dos routers Cisco ASR: 9001 y Cisco Nexus 7009. En total, tenemos 114 puertos 10G VAC o capacidad 1.14Tbps
de conmutación / enrutamiento. Para la limpieza de tráfico se utilizan dos tipos de hardware: 4 Tilera de 20 Gbps cada uno (80Gbps) y 1 TMS 4000 30Gbps.

El desarrollo de software en Tilera es proporcionada por nuestros equipos internos. Se trata de una C / C + + código de bajo, la cola y el algoritmo de gestión que determina si un paquete es un paquete bueno o malo paquetes. TMS 4000 es un caso con el algoritmo desarrollado por Arbor.

El tráfico se dibuja en la entrada de un centro de datos, se limpia y enviada a las habitaciones routers. En el caso de MAV1, el tráfico se aspira a las dos enrutadores principal Roubaix, a continuación, se pasa a través de cinco etapas de limpieza. Cada planta inteligente limpia un tipo de ataque con el fin de reducir el tamaño del ataque tan significativo antes de pasar el resto del ataque a la siguiente planta. Y así sucesivamente. Es a través de estas cinco etapas que pueden procesar hasta 160Gbps de ataque en el que nuestros competidores compran un MSD 4000 unidad Arbor con una tarjeta de 10G y son capaces de filtrar que max 10G c ' es decir, nada. Si te acercas demasiado grandes ataques, el contrato se rompe y tiene que encontrar un nuevo huésped: aquí es donde entramos nosotros, ya que no hay límite en el tamaño de los ataques que pueden manejar ..

Características
---------------
Con VAC, podemos ofrecer los siguientes servicios:
- Un servidor de seguridad de red
- La mitigación de ataques DDoS
- La elección del tipo de mitigación
- Mitigación Permanente
- La detección de una mitigación de ataques y la activación
- Apoyo para ayudarle en caso de un ataque

VAC también una aspiración de los ataques que nuestra red puede generar. De hecho, a veces los clientes son atacados servidores que luego se utilizan para lanzar los ataques. Al detectar estos ataques, sino que también aspiran a la VAC continuación, limpia la espera detectar servidores que hackeado y luego a
rescatar.

A VAC también participarán en la lucha contra el spam. En efecto, el VAC se chupan y duplicar "el tráfico de correo electrónico saliente" a DC analizó por un-antivirus y anti-spam. Podemos hacer que las estadísticas de spam SRC IP en nuestros centros de datos y bloquear el SMTP cuando un IP cree que es un spammer. Un VAC no es el almacenamiento, es un analizador de tráfico, por lo que no hay almacenamiento de mensajes de correo electrónico, pero sólo el análisis en tiempo real de una muestra de correos electrónicos que salen de nuestros países en desarrollo.

Además de pasar la aspiradora, la aspiradora también planchado .. No es broma

Redundancia
----------
La redundancia se consigue mediante un otro VCA VCA. Antes de finales de agosto, vamos a instalar el hecho de mitigación VAC 3 unidades en tres lugares del mundo:
- Estrasburgo (SBG)
- Roubaix (RBX)
- En Beauharnois (BHS)

3 VAC funcionará en paralelo y cada VAC se chupe el más cercano a él para limpiarlo y luego inyectar la red interna que hemos establecido entre todo el tráfico de DC. Por lo tanto, un ataque que viene de Miami, FL pasará en BHS, Yonder la MAV3 está limpio, entonces el tráfico entrará en la red interna pasan por BHS GRA por RBX para obtener por ejemplo SBG al servidor que es la víctima de un ataque DDoS.

La capacidad total de nuestro 3 VAC es 3x160Gbps es 480Gbps/480Mpps. Esta es la mayor infraestructura de mitigación conocido como proveedor de infraestructura pone a disposición de sus clientes.


Resultar
-----------
Servicio de protección no se limita ya sea en términos del tamaño del ataque o en términos de la duración de la crisis o en términos del tipo de ataque. Sabemos recoger cualquier ataque y la meta para nosotros es ofrecer un servicio que en realidad proteger al día, donde recibirá un ataque.

La pregunta realmente no es "¿Eso es lo que necesito?" pero "es el día en que me va a proteger?". Sin embargo, la semana pasada un cliente me contactó con urgencia debido a que su sitio fue atacado por un niño no es feliz. 3 clicks más tarde, el ataque fue a través de la página web MAV1 y www.prestashop.com volvió a ser disponible. Cada día, recibimos un máximo de 1.200 ataques y protegemos un promedio de 700 de ustedes, no es realmente lo mismo todos los días ..

Servicio
-------
Vamos a ofrecer tres niveles de servicio:

- Por defecto, incluido en el precio de la meta es proteger nuestra infraestructura y servicio al cliente de una manera "mejor esfuerzo". Con el fin de proteger adecuadamente un submarino contra un ataque, usted debe saber lo que se está ejecutando en el servidor y configurar la configuración adecuada de mitigación. Sin contacto humano con el cliente, sólo podemos hacer el "mejor esfuerzo". Este es el nivel de servicio que proporcionará de forma predeterminada.

- Utilizar con PRO que será capaz de "ajustar" y adaptar la protección con el gerente o APIv6. Nosotros le proporcionaremos con las siguientes herramientas:
- El servidor de seguridad de red para 480Gbps con la posibilidad de 100 líneas por ACL IP horario de verano. se trata de una OVH innovación.

- Elige entre docenas de tipos de mitigación entre web, smtp, juego, teamspeek, streaming, etc

- Reducción permanente o de activar la detección de un ataque con el cambio automático de VAC

- Apoyo estará en las lis de correo
ddos@ml.ovh.net

- Con el apoyo VIP, tendrá la asistencia de configuración / 24 24 + humano alguien con quien hablar durante un ataque para que ayude de forma rápida y eficiente configurar la debida protección que bloquea el ataque . El equipo de VIP asegurará ataque 24/24 y se adaptará a la protección si las tasas de ataque de monitoreo.

Precio
----
A lo largo del ALPHA, se informó sobre el hecho de que la protección contra ataques DDoS debe ser un servicio incluido en el precio de un servidor, un VPS, una tarjeta PCI, un CCP o una conexión ADSL.

Nos quedamos muy sorprendidos al leer la misma pregunta volvió en repetidas ocasiones: "¿Cuánto va a costar?"

Esto nos hizo pensar mucho .. mucho.

Después de pensar que tenía 3 opciones:

- No como todos, es decir, prestar un servicio a una considerable reducción de los precios, al tiempo que afirmaba que la capacidad de mitigación depende del precio y que en todos los casos hay un límite de 10 Gbps y 20 Gbps ( !). ver una limitación en la duración del ataque (!), entonces usted tiene que pagar más si quieres más (!) definitiva, un servicio a la carta, caro y muy limitado. el modelo de negocio estándar de todos nuestros competidores y soluciones de mitigación proveedores.

- Cómo "caro / no es suficiente", es decir, invertir en infraestructura (llamado 3Me) y no incluye el costo de la mitigación en el precio de cada servicio. simplemente ofrecer, pero sin los ingresos relacionados con la mitigación, no ponga equipos de cuidar, de 24/24 y espero que sea suficiente el gran día

- Elegimos una tercera forma: compartir los costos de VAC y equipos de todos los clientes existentes y futuros que tenemos en nuestra infraestructura. En este caso hablamos de una opción obligatoria para todos los existentes dedicados VPS y todos los servidores pCC. Pero como se trata de una gran cantidad de clientes, el aumento de precio del servicio es muy bajo:
- VPS: 0,5 e / mes
- KS: 1 e / mes
- SP: 1 e / mes
- EG: 2 e / mes
- MG: 2 e / mes
- HG: 3 e / mes
- PCC: 5 e / mes
- Vivienda: 10 e / mes

Este incremento de los precios de todos los servidores actuales y futuros nos permite seguir invirtiendo en infraestructura y mejorar enfrentan nuevos ataques.

Será aplicable del 1 de septiembre de 2013 para todos los servidores existentes. Por contra, en el caso de pago anual, ofrecemos protección anti-DDoS, por lo que el precio del servicio no varía.

Hablamos 0,5 e / e 10 mes / mes. Esto puede parecer débil en contra del servicio DDoS precio que nuestros competidores ofrecen. Incluso se puede decir que no podemos ofrecer un servicio de protección contra DDoS calidad por un precio tan bajo. Con la cantidad de clientes que tenemos y gracias a la puesta en común de los costos e inversiones, nos sentimos totalmente cómodos para afrontar los retos de convertirse en un jugador líder en la protección contra los ataques y proteger la J. Day

Saludos
Octava