Перейти до

Новая услуга для участников точки обмена: Firewall.

GiganetUA

Автор: GiganetUA,
в Пошук провайдера

 Share Подписчики 1

Рекомендованные сообщения

GiganetUA

GiganetUA 7

Опубликовано:
Опубликовано:

Уважаемые Коллеги!

 

Точка обмена трафиком Giganet IXP рада сообщить о запуске нового сервиса для участников: Firewall. 

Услуга "Firewall" позволяет участникам точки обмена трафиком эффективно отражать DDoS-атаки, направленные на исчерпание ёмкости канала связи: DNS-усиленные, NTP-усиленные, SNMP-усиленные атаки, UDP, ICMP флуд etc.
При таких атаках владелец ресурса, как правило, лишён возможности самостоятельно отразить атаку не прибегая к помощи NOC аплинка (вышестоящего оператора, либо точки обмена трафиком).
Традиционным средством отражения таких атак является blackhole атакуемого хоста. Данная технология поддерживается многими операторами, однако у неё есть недостаток - блокируется вообще весь трафик на ресурс, а не только мусорный трафик. 

В Giganet IXP Вы можете аналогичным способом, с помощью специально оформленных BGP-анонсов, отфильтровать только мусорный трафик, не прибегая к полному блокированию ресурса через blackhole.
После получения такого анонса, на наше оборудование будет установлен Access Control List, который заблокирует указанный Вами трафик.

"Firewall" от Giganet IXP предлагает участникам следующие возможности:
* Фильтрация всего протокола на IP-адрес/префикс: TCP, UDP, ICMP etc.
* Фильтрация протокола + source port либо destination port на IP-адрес/префикс.

 

Услуга предоставляется бесплатно по запросу участника.
 

 

Благодарим за внимание!

Ссылка на сообщение
Поделиться на других сайтах
ig0r

ig0r 25

Опубліковано:
Опубліковано: (відредаговано)

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен. Частичная доступность хоста (через Giganet) врядли что-то изменит.

Відредаговано ig0r
Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано:

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен.

Ну, судя по вышесказанному зануление будет с условием. Как они это реализуют - их дело.

Ссылка на сообщение
Поделиться на других сайтах
ig0r

ig0r 25

Опубліковано:
Опубліковано:

 

 

Ну, судя по вышесказанному зануление будет с условием. Как они это реализуют - их дело.

Я о том, что они то занулят по условию, но кроме Гиганета есть другие точки обмена, аплинки и пиринги, в которые хост придется отправить с blackhole community.

Ссылка на сообщение
Поделиться на других сайтах
Phsm

Phsm 19

Опубліковано:
Опубліковано: (відредаговано)

Ну, за другие точки обмена мы отвечать не можем, реализовали только у себя :)

Как вариант, в случае атаки можно временно положить сессии с другими точками обмена, и тогда украинский трафик развернется через Гиганет.

 

 

Новая услуга это замечательно, особенно бесплатная :)

Но мне пока не понятна практическая ценность услуги для клиента, борьба с DDoS всё-равно сведется к blackhole и атакуемый хост будет недоступен. Частичная доступность хоста (через Giganet) врядли что-то изменит.

Ну, это от случая к случаю. Например, если у абонента интернет-магазин, работающий на территории Украины - ему доступности украинского сегмента вполне хватит для работы.

 

Еще один пример использования:

Например, датацентр, который часто досят, может взять мировой канал через транспорт Гиганет у какого-нибудь оператора, и сможет фильтровать трафик нашими средствами. Правда в таком случае нужно, чтобы каналы оператора смогли выдержать такой ддос, и чтобы у оператора был стык с Гиганет достаточной ёмкости.

Відредаговано Phsm
Ссылка на сообщение
Поделиться на других сайтах
Phsm

Phsm 19

Опубліковано:
Опубліковано: (відредаговано)

BGP flowspec....?

Nope. 

Изначально думали над реализацией flowspec, это было бы даже проще, однако столкнулись со следующими факторами:

-Не у всех оборудование поддерживает flowspec.

-Не все хотят его включать/разбираться с ним.

-Ограничения нашего оборудования, накладываемые на селекторы трафика в ACL, в свою очередь, не позволят реализовать flowspec в полной мере.

Відредаговано Phsm
Ссылка на сообщение
Поделиться на других сайтах
GiganetUA

GiganetUA 7

Опубліковано:
  • Автор
Опубліковано:

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

Ссылка на сообщение
Поделиться на других сайтах
Minotaur

Minotaur 35

Опубліковано:
Опубліковано:

 

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

 

Считаете это правильным?

Ссылка на сообщение
Поделиться на других сайтах
GiganetUA

GiganetUA 7

Опубліковано:
  • Автор
Опубліковано:

 

 

не много сарказма конечно, но вопрос:

а не планирует ли UA-IX или DTEL включится в вашу сеть?

 

C ua-ix есть стык, и если стоит задача включиться в точку обмена, то включившись в Гиганет Вы можете получить трафик и из ua-ix.  

 

Считаете это правильным?

 

Вы имеете в виду моральный или технический аспекты? )

Ссылка на сообщение
Поделиться на других сайтах
GiganetUA

GiganetUA 7

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

С технической точки зрения это позволяет предоставлять более качественный сервис. 

Відредаговано GiganetUA
Ссылка на сообщение
Поделиться на других сайтах
ig0r

ig0r 25

Опубліковано:
Опубліковано:

 

 

Вы имеете в виду моральный или технический аспекты? )

 

С технической точки зрения это позволяет предоставлять более качественный сервис.
 

Раз уж Вы сами затронули этот вопрос...с моральным аспектом как?

Ссылка на сообщение
Поделиться на других сайтах
GiganetUA

GiganetUA 7

Опубліковано:
  • Автор
Опубліковано:

ig0r, с моральным могут проблемы лишь тогда когда нарушаются правила, или когда не нарушать моральный мешает технический ))) Правила не нарушается)

Ссылка на сообщение
Поделиться на других сайтах
Minotaur

Minotaur 35

Опубліковано:
Опубліковано:

 

 

С технической точки зрения это позволяет предоставлять более качественный сервис.

Не нужно лукавить. Почему вы на UA-IX остановились? Включайтесь уже и в DE-CIX, и в AMS-IX - ведь это "позволяет предоставлять более качественный сервис".

А на самом деле вы уже давно не являетесь точкой обмена, но сетью. Говоря более понятным языком: торговцы обрезанным IP-тразитом.

Ссылка на сообщение
Поделиться на других сайтах
GiganetUA

GiganetUA 7

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

Minotaur, c ua-ix так случилось исторически.)) Более того мы для них хороший трафикогенерирующий участник )) В остальном ваши слова не соответствуют действительности - мы не предлагем фулвью, а так, да, участников у нас уже не мало... )  

Відредаговано GiganetUA
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...