Мы используем cookie-файлы для улучшения предоставляемых услуг. Продолжая навигацию по сайту, вы соглашаетесь с правилами использования cookie-файлов.

Оставить заявку

Карта магистральных сетей GlobalNet

скрыть поиск
Страны и города присутствия

Показать еще
Магистрали
Введите запрос
Для осуществления более широкого поиска введите адрес или наименование искомого
дата - центра

Карта магистральных сетей GlobalNet

Фильтры

Поиск по карте

Скрыть поиск

14 мар. 2021

Вопросы и ответы про IX DDOS PROTECTION

Поделиться

Вопросы про IX DDoS Protection, наиболее часто задаваемые специалистам.

1. Каким образом работает защита?

При обнаружении DDoS атаки, Arbor TMS анонсирует /32 защищаемый префикс с измененным next-hop всем участникам DATAIX. При этом все остальные префиксы вы получаете в обычном режиме.

Весь “зараженный” трафик попадет на систему очистки, после чего нелегитимный будет отброшен, а легитимный вернется участнику DATAIX. Чтобы трафик можно было перенаправить в систему очистки, необходимо, чтобы каждый участник IX начал принимать /32 префиксы со специально созданным для этого BGP community - 0:65500.

Префиксы участников попадают под защиту только после того, как участник оставит заявку на подключение сервиса и укажет, какие именно префиксы он хочет защищать.

2. Каким образом мне подключить сервис защиты от DDoS?

Для подключения сервиса вам необходимо обратиться к вашему менеджеру или написать заявку на специальный почтовый ящик ix32@dataix.ru.

В заявке нужно показать, что вы уже начали прием /32 префиксов с BGP community 0:65500 (достаточно приложить выдержку из файла конфигурации или скриншот), и указать префиксы, которые вы хотите защищать.

Важно! Мы защищаем только префиксы наших непосредственных клиентов, которые зарождаются в вашей AS. Эти данные формируются на основании RIPE/RADB.

3. Не возникнут ли ситуации, что с помощью анонсов /32 будут происходить манипуляции трафиком?

Нет, так как мы не будем принимать на Route-Server-ах /32 префиксы от участников, соответственно вы будете получать их только от наших RS и только с определенным BGP community (0:65500).

Если кто-либо из участников попробует проанонсировать нам свои /32 префиксы - они будут отброшены (кроме blackhole с community 0:666). В этом вы можете убедиться, воспользовавшись сервисом Looking Glass.

При этом, если участник согласился защищать свои префиксы в рамках DATAIX, то могут возникнуть ситуации, когда трафик из точки А в точку B изменит направление движения во время атаки за счет появления более специфичного маршрута. Такое поведение продлится до конца атаки. Если вы хотите его поменять - свяжитесь с нашими специалистами.

4. Каков максимальный объем очищаемого трафика?

Сейчас мы обладаем ресурсами для очистки 40 Gbit/s в один момент времени в рамках IX

5. Сколько префиксов /32 мы можем получить через DATAIX?

Учитывая среднюю частоту DDoS атак, число таких префиксов не будет превышать 150-200 в самом худшем случае. При отсутствии DDoS атак вы не увидите такой тип префиксов.

6. Где находится система фильтрации трафика? 

В данный момент система фильтрации находится в Санкт-Петербурге. Так, если ваш префикс попадет под атаку и Arbor его проанонсирует с новым next-hop - то трафик от всех участников DATAIX до атакуемого префикса будет направлен через СПб, что может вызвать повышение RTT в конкретный момент времени для конкретного хоста.

7. Какой еще дополнительный функционал существует у данной услуги? 

Мы можем предложить кастомизацию шаблона по обнаружению атак под вашу сеть и кастомизацию шаблона контрмер.

Также, по желанию, вы можете получать уведомления на почту об атаках на ваши префиксы.


С уважением, команда GlobalNet.