klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Про anti-dDOS

Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него, увы, не спешит.

В рамках этого проекта помимо прочего мы обязаны заключить договор с какой-нибудь конторой, предоставляющей услуги защиты от DDoS. То, что оно мне нахер не впёрлось — это второй вопрос. Но по некоторым не зависящим от нас причинам, обязаны вот заключить и подключить.

Нашли там одну контору... не буду публиковать её название, дабы не делать им рекламы или не отбиваться от их нападок. Но они капец какие смешные.

Вся инфраструктура у них заточена под защиту / фильтрацию исключительно HTTP / HTTPS. Шаг вправо / шаг влево, какой-то относительно нестандартный протокол — уже проблемы.

Для защиты HTTPS требуют отдать им закрытый ключ от твоего X509-сертфиката. Чтобы они, значит, сами терминировали-разворачивали TLS-сессии. Ага, щаззз, разбежались. Я если бы даже и захотел, не смог бы им отдать. Потому что он у меня хранится в специальном отдельном криптоящике, который внаружу его не выпустит ни при каких условиях.

Ладно... если нельзя отдать X509-ключ, тогда по их условиям нужно строить GRE-тоннели, в которые заворачивать весь трафик. При этом.


  • Адресацию внутри GRE-тоннелей они тебе диктуют сами. Пересекается с твоими сетями? А ниипёт! Сам изворачивайся как хочешь.

  • Весь ICMP у них наглухо закрыт. Диагностика? Не, не слышали! Работает тоннель, не работает, догадайся, мол, сама.

Ладно, с помощью кувалды, какой-то там матери и нескольких суток отладки таки построили, как-то даже работает.

Дальше говно ширится. Понадобилось также защищать подключения по протоколу UDP. Ииии? "Ой, нет, а мы так не можем! Давайте объявляйте свою AS через нас, мы будем представляться от вашего имени, только так." Ну охренеть, дайте две! Ещё я им свою ASку целиком отдать должен. А жопа не треснет?

Вот и возникает вопрос: а на хера вы мне вообще такие красивые нужны, а? Впрочем, ответ уже был дан несколько выше.

Ещё маленький нюанс. Эти гаврики участвовали в одной из онлайн-конференций "Yandex NextHop Talks". При этом у их докладчика единственного возникли проблемы с трансляцией видео и звука. До такой степени, что он даже "выпадал" из конференции и не мог восстановить вещание минут 15. Народ его там обстебал по полной программе.

Это всё, что вам нужно знать про защиту от DDoS и про одну из самых популярных в России контор, оказывающую такие услуги.

Tags: лулзы, ненависть, трудовыебудни
Subscribe

  • Немного IPSec-боли и про рынок труда

    ... Удалось вызвать на ринг конф-колл сетевика одного из крупных операторов связи. В числе прочего я ему задал вопрос, хули они…

  • Габаритострадания

    ... Так исторически сложилось, что сейчас у меня "на семью" есть два автомобиля. "Старый" Ларгус с реношным двигателем K4M и…

  • Про "типа больных" и прочих убогих

    По мотивам комментариев к предыдущему посту. Многие отписались там в духе "ну это всё крайности, нужно делать скидку на то, что человек…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 14 comments

  • Немного IPSec-боли и про рынок труда

    ... Удалось вызвать на ринг конф-колл сетевика одного из крупных операторов связи. В числе прочего я ему задал вопрос, хули они…

  • Габаритострадания

    ... Так исторически сложилось, что сейчас у меня "на семью" есть два автомобиля. "Старый" Ларгус с реношным двигателем K4M и…

  • Про "типа больных" и прочих убогих

    По мотивам комментариев к предыдущему посту. Многие отписались там в духе "ну это всё крайности, нужно делать скидку на то, что человек…