Статьи компании

9.7
DDoS-Guard.net

16.04.2019

11 дней обороны: провайдеров атакуют по утрам

Два клиента DDoS-GUARD подвергаются амплифицированным DDoS-атакам, которые продолжаются непрерывно уже 11 дней
Читать далее
02.04.2019

DDoS-GUARD и Selectel поставили на защиту Петербург

02 апреля 2019 года, Москва, Санкт-Петербург — Selectel, провайдер ИТ-инфраструктурных решений для бизнеса, и DDoS-GUARD, оператор связи и услуг по защите от DDoS-атак, совместно запустили узел фильтрации трафика. Он стал первой и единственной точкой в Петербурге, являющейся частью глобально распределенной фильтрующей сети.
Читать далее
31.01.2019

Клиентам DDoS-GUARD доступна балансировка запросов

Пользователям услуги Защита и ускорение веб-сайтов теперь доступна новая опция - балансировка запросов. Это предложение подойдет тем, чей сайт размещен на нескольких web-серверах, расположенных в одном или нескольких дата-центрах. 
Читать далее
19.07.2018

Легкий START с DDoS-GUARD

Новый хостинг всего за 50 рублей в месяц
Читать далее
18.04.2018

Заблокировали хостинг-провайдера? Переходи на DDoS-GUARD

Блокировки Роскомнадзора поставили в трудное положение всех, кто пользовался услугами зарубежных провайдеров Amazon и OVH. 
Читать далее

Выберите свой выделенный сервер — получите SSD в подарок

Период действия акции *: до конца февраля
Разверните свой проект на выделенном сервере - получите максимум возможностей со скидкой 10%.
Читать далее

Выделенный сервер с защитой от DDoS-атак со скидкой 30%

Период действия акции *: до 17 января 2019
Отличный подарок для администраторов веб-проектов в этом году - выделенный сервер с защитой от DDoS-атак со скидкой 30% и дополнительным SSD 150-240 Гб в комплекте
Читать далее

Скидка 50% к 23 февраля!

Период действия акции *: до 25.02.2018
DDoS-GUARD поздравляет с наступающим Днем защитника Отечества. Каждому из нас есть, что оберегать. И чтобы помочь вам уберечь свои проекты от DDoS-атак, мы дарим скидку 50% на первый платеж!
Читать далее

SSL-сертификат бесплатно!

Период действия акции *: бессрочно
Теперь фильтрация HTTPS-трафика ВКЛЮЧЕНА в стоимость тарифного плана Normal. Клиент может использовать как бесплатный Let's Encrypt, так и установить любой свой сертификат. 
Читать далее

Скидка 50% на первую оплату

Период действия акции *: до 28 февраля 
Чтобы получить скидку, укажите при оплате промокод CHINESENEWYEAR2018 и сумма уменьшится автоматически.
Читать далее

Есть ли альтернатива BGP Flowspec?

Рубрика: Разное
Опубликовано: 15.01.2018.
Одним из самых распространенных видов prefirewall фильтров является BGP Flowspec, широко применяемый как в рамках одного домена, так и на междоменном уровне и позволяющий с помощью сигнализации протокола BGP (AFI flow) передавать описанные правила на удаленные узлы в сети, где они выполняются Firewall.

Более подробно это описано в RFC5575, с дополнениями в RFC7674, и сопутствующим количеством документов со статусом  Internet-Draft. Невзирая на заголовок статьи, изложенный в ней материал — не попытка преподнести  полноценную замену многолетнему стандарту, давно нашедшему реализацию во многих вендорских и операторских решениях. У каждой технологии есть свои особенности, преимущества и недостатки. Речь пойдет о совместном применении всем хорошо известного транзитивного атрибута community протокола BGP, вендорских решениях от Juniper  Destination Class Usage и Prefix-Specific Action (у Cisco — microflow policing).

Рассмотрим более подробно совместную реализацию данных решений на приведенных схеме, примерах конфигурации, скриншотах тестирования.

 

Тестовая схема состоит из AS65001, представляющую автономную систему клиента, и анонсирующую защищаемый префикс 192.168.200/24 с community 65000:1111; из AS65000, представляющей IP/MPLS домен ISP; из сегмента Internet с хостом генерирующим тестовый трафик.

Основная конфигурация выполняется на пограничных маршрутизаторах ISP, в который включены аплинки (в нашем примере это PE-маршрутизатор vMX-VCP). Рассмотрим подробнее на примере конфигурации.

1) Опишем community по которому policy будет осуществлять match определенных префиксов:

 set policy-options community dst-prefixes members 65000:1111

 

2) Опишем саму policy, в котором в котором в качестве match указан протокол bgp и ранее описанное community, а в качестве action назначаться destination-class:

 set policy-options policy-statement dcu-psa term 1 from protocol bgp
set policy-options policy-statement dcu-psa term 1 from community dst-prefixes
set policy-options policy-statement dcu-psa term 1 then destination-class psa

 

3) Применим policy к routing-options forwarding-table:

set routing-options forwarding-table export dcu-psa

 

4) Создадим policer, который будет применяться в prefix-action для ограничения определенного трафика (ограничение в 2 Mbps указано в качестве примера):


set firewall policer lim2m-PSA if-exceeding bandwidth-limit 2m
set firewall policer lim2m-PSA if-exceeding burst-size-limit 15k
set firewall policer lim2m-PSA then discard
 

           

5) Создаем firewall prefix-action в котором указываем длину префикса (в нашем случае это /24), его градацию по destination (в примере указано /32), а также policer, ограничивающий определенный трафик на каждый destination (т. е. на каждый IP-адрес):

set firewall family inet prefix-action psa-2m-dest-24-32 policer lim2m-PSA
set firewall family inet prefix-action psa-2m-dest-24-32 count
set firewall family inet prefix-action psa-2m-dest-24-32 filter-specific
set firewall family inet prefix-action psa-2m-dest-24-32 subnet-prefix-length 24
set firewall family inet prefix-action psa-2m-dest-24-32 destination-prefix-length 32
 

 

6) В firewall filter PSA ссылаемся на ранее описанный destination-class, описываем критерии по которым необходимо матчить трафик (в примере TCP-пакеты с флагами syn, ack, syn+ack, rst, но в реальности может быть все что угодно, например, тот же UDP) и в качестве action указываем ранее созданный prefix-action:

set firewall filter PSA term psa from destination-class psa
set firewall filter PSA term psa from source-address 0.0.0.0/0
set firewall filter PSA term psa from protocol tcp
set firewall filter PSA term psa from tcp-flags "(((syn & ack) | rst) | syn) | ack"
set firewall filter PSA term psa then next term
set firewall filter PSA term psa then prefix-action psa-2m-dest-24-32
set firewall filter PSA term accept then accept


7
) Применяем созданный фильтр к forwarding-options:

  set forwarding-options family inet filter output PSA

 

Полную версию материала читайте здесь. Материал подготовлен сотрудниками DDoS-GUARD.

Все статьи компании
Читальный зал

Добавить комментарий

Комментарии могут оставлять только авторизованные пользователи.
Авторизоваться   Зарегистрироваться

Системный администратор DevOps

Вид: В офисе
Страна: Россия
Город: Ростов-на-Дону
Зарплата *: по договоренности
Описание *:
Должностные обязанности:

Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.

Требования:

Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.

Большим плюсом будет:

Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.


Условия работы:

Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.

Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.

Наверх
Сообщить об ошибке
Описание ошибки: