Jump to content

Новая услуга для участников точки обмена: Firewall.

GiganetUA

By GiganetUA,
in Find ISP

 Share Followers 1

Recommended Posts

GiganetUA

GiganetUA 7

Posted
Posted

Уважаемые Коллеги!

 

Точка обмена трафиком Giganet IXP рада сообщить о запуске нового сервиса для участников: Firewall. 

Услуга "Firewall" позволяет участникам точки обмена трафиком эффективно отражать DDoS-атаки, направленные на исчерпание ёмкости канала связи: DNS-усиленные, NTP-усиленные, SNMP-усиленные атаки, UDP, ICMP флуд etc.
При таких атаках владелец ресурса, как правило, лишён возможности самостоятельно отразить атаку не прибегая к помощи NOC аплинка (вышестоящего оператора, либо точки обмена трафиком).
Традиционным средством отражения таких атак является blackhole атакуемого хоста. Данная технология поддерживается многими операторами, однако у неё есть недостаток - блокируется вообще весь трафик на ресурс, а не только мусорный трафик. 

В Giganet IXP Вы можете аналогичным способом, с помощью специально оформленных BGP-анонсов, отфильтровать только мусорный трафик, не прибегая к полному блокированию ресурса через blackhole.
После получения такого анонса, на наше оборудование будет установлен Access Control List, который заблокирует указанный Вами трафик.

"Firewall" от Giganet IXP предлагает участникам следующие возможности:
* Фильтрация всего протокола на IP-адрес/префикс: TCP, UDP, ICMP etc.
* Фильтрация протокола + source port либо destination port на IP-адрес/префикс.

 

Услуга предоставляется бесплатно по запросу участника.
 

 

Благодарим за внимание!

Link to post
Share on other sites
ig0r

ig0r 25

Posted
Posted (edited)

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен. Частичная доступность хоста (через Giganet) врядли что-то изменит.

Edited by ig0r
Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен.

Ну, судя по вышесказанному зануление будет с условием. Как они это реализуют - их дело.

Link to post
Share on other sites
ig0r

ig0r 25

Posted
Posted

 

 

Ну, судя по вышесказанному зануление будет с условием. Как они это реализуют - их дело.

Я о том, что они то занулят по условию, но кроме Гиганета есть другие точки обмена, аплинки и пиринги, в которые хост придется отправить с blackhole community.

Link to post
Share on other sites
Phsm

Phsm 19

Posted
Posted (edited)

Ну, за другие точки обмена мы отвечать не можем, реализовали только у себя :)

Как вариант, в случае атаки можно временно положить сессии с другими точками обмена, и тогда украинский трафик развернется через Гиганет.

 

 

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен. Частичная доступность хоста (через Giganet) врядли что-то изменит.

Ну, это от случая к случаю. Например, если у абонента интернет-магазин, работающий на территории Украины - ему доступности украинского сегмента вполне хватит для работы.

 

Еще один пример использования:

Например, датацентр, который часто досят, может взять мировой канал через транспорт Гиганет у какого-нибудь оператора, и сможет фильтровать трафик нашими средствами. Правда в таком случае нужно, чтобы каналы оператора смогли выдержать такой ддос, и чтобы у оператора был стык с Гиганет достаточной ёмкости.

Edited by Phsm
Link to post
Share on other sites
Phsm

Phsm 19

Posted
Posted (edited)

BGP flowspec....?

Nope. 

Изначально думали над реализацией flowspec, это было бы даже проще, однако столкнулись со следующими факторами:

-Не у всех оборудование поддерживает flowspec.

-Не все хотят его включать/разбираться с ним.

-Ограничения нашего оборудования, накладываемые на селекторы трафика в ACL, в свою очередь, не позволят реализовать flowspec в полной мере.

Edited by Phsm
Link to post
Share on other sites
GiganetUA

GiganetUA 7

Posted
  • Author
Posted

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

Link to post
Share on other sites
Minotaur

Minotaur 35

Posted
Posted

 

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

 

Считаете это правильным?

Link to post
Share on other sites
GiganetUA

GiganetUA 7

Posted
  • Author
Posted

 

 

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

 

Считаете это правильным?

 

Вы имеете в виду моральный или технический аспекты? )

Link to post
Share on other sites
ig0r

ig0r 25

Posted
Posted

 

 

Вы имеете в виду моральный или технический аспекты? )

 

С технической точки зрения это позволяет предоставлять более качественный сервис.
 

Раз уж Вы сами затронули этот вопрос...с моральным аспектом как?

Link to post
Share on other sites
GiganetUA

GiganetUA 7

Posted
  • Author
Posted

ig0r, с моральным могут проблемы лишь тогда когда нарушаются правила, или когда не нарушать моральный мешает технический ))) Правила не нарушается)

Link to post
Share on other sites
Minotaur

Minotaur 35

Posted
Posted

 

 

С технической точки зрения это позволяет предоставлять более качественный сервис.

Не нужно лукавить. Почему вы на UA-IX остановились? Включайтесь уже и в DE-CIX, и в AMS-IX - ведь это "позволяет предоставлять более качественный сервис".

А на самом деле вы уже давно не являетесь точкой обмена, но сетью. Говоря более понятным языком: торговцы обрезанным IP-тразитом.

Link to post
Share on other sites
GiganetUA

GiganetUA 7

Posted
  • Author
Posted (edited)

Minotaur, c ua-ix так случилось исторически.)) Более того мы для них хороший трафикогенерирующий участник )) В остальном ваши слова не соответствуют действительности - мы не предлагем фулвью, а так, да, участников у нас уже не мало... )  

Edited by GiganetUA
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...