klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Про anti-dDOS

Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него, увы, не спешит.

В рамках этого проекта помимо прочего мы обязаны заключить договор с какой-нибудь конторой, предоставляющей услуги защиты от DDoS. То, что оно мне нахер не впёрлось — это второй вопрос. Но по некоторым не зависящим от нас причинам, обязаны вот заключить и подключить.

Нашли там одну контору... не буду публиковать её название, дабы не делать им рекламы или не отбиваться от их нападок. Но они капец какие смешные.

Вся инфраструктура у них заточена под защиту / фильтрацию исключительно HTTP / HTTPS. Шаг вправо / шаг влево, какой-то относительно нестандартный протокол — уже проблемы.

Для защиты HTTPS требуют отдать им закрытый ключ от твоего X509-сертфиката. Чтобы они, значит, сами терминировали-разворачивали TLS-сессии. Ага, щаззз, разбежались. Я если бы даже и захотел, не смог бы им отдать. Потому что он у меня хранится в специальном отдельном криптоящике, который внаружу его не выпустит ни при каких условиях.

Ладно... если нельзя отдать X509-ключ, тогда по их условиям нужно строить GRE-тоннели, в которые заворачивать весь трафик. При этом.


  • Адресацию внутри GRE-тоннелей они тебе диктуют сами. Пересекается с твоими сетями? А ниипёт! Сам изворачивайся как хочешь.

  • Весь ICMP у них наглухо закрыт. Диагностика? Не, не слышали! Работает тоннель, не работает, догадайся, мол, сама.

Ладно, с помощью кувалды, какой-то там матери и нескольких суток отладки таки построили, как-то даже работает.

Дальше говно ширится. Понадобилось также защищать подключения по протоколу UDP. Ииии? "Ой, нет, а мы так не можем! Давайте объявляйте свою AS через нас, мы будем представляться от вашего имени, только так." Ну охренеть, дайте две! Ещё я им свою ASку целиком отдать должен. А жопа не треснет?

Вот и возникает вопрос: а на хера вы мне вообще такие красивые нужны, а? Впрочем, ответ уже был дан несколько выше.

Ещё маленький нюанс. Эти гаврики участвовали в одной из онлайн-конференций "Yandex NextHop Talks". При этом у их докладчика единственного возникли проблемы с трансляцией видео и звука. До такой степени, что он даже "выпадал" из конференции и не мог восстановить вещание минут 15. Народ его там обстебал по полной программе.

Это всё, что вам нужно знать про защиту от DDoS и про одну из самых популярных в России контор, оказывающую такие услуги.

Tags: лулзы, ненависть, трудовыебудни
Subscribe

  • Кого бы выбрать

    Мегафно меня задрал окончательно. Подключен к нему в одном из ЦОДов, дык оный взял моду заваливать BGP-сессию ночами на полчаса и дольше. Причем,…

  • ОколоITшный дыбр #77

    ... Побаловался с загрузкой eSIM. Занятно то, что операторы очень хотят выслать QR-код для загрузки профиля на ящик электрической почты. Но при этом…

  • Размышления на тему ИБ

    ... Бывают случаи, когда дополнительная "безопасность" ни к чему не приводит. Например, условный Вася устанавливает в свою квартиру…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 14 comments

  • Кого бы выбрать

    Мегафно меня задрал окончательно. Подключен к нему в одном из ЦОДов, дык оный взял моду заваливать BGP-сессию ночами на полчаса и дольше. Причем,…

  • ОколоITшный дыбр #77

    ... Побаловался с загрузкой eSIM. Занятно то, что операторы очень хотят выслать QR-код для загрузки профиля на ящик электрической почты. Но при этом…

  • Размышления на тему ИБ

    ... Бывают случаи, когда дополнительная "безопасность" ни к чему не приводит. Например, условный Вася устанавливает в свою квартиру…