Cloud DDoS filter

Именно об этом мечтают
  жертвы DDoS-атак.
До запуска CDF
• Ежемесячно в Рунете «роняли» тысячу сайтов с
  помощью DDoS-атак.
• Ни один организатор DDoS-атак ни разу в
  истории России не был привлечен к
  ответственности.
• Ценовая категория - развлечение. Сходить в
  ресторан, заказать девушку или уронить сайт
  конкурента на несколько дней? Хм…
• Превентивная защита стоит от $300 в месяц, а
  отсутствие – не меньше (если атака случится).
До запуска CDF
           Перешел кому-то дорогу?

Не хочешь отдавать за «крышу» в
Интернет «лишние» $300 в месяц?

Сотри свой сайт, забейся в угол и заплачь.
              Ты бессилен.
«МЕЧТА!»
• Сервис превентивной защиты от DDoS без
  абонентской платы.
• Время простоя сайта под атакой – считаные
  минуты
• Абсолютно эластичен – способен отражать
  атаку любой мощности
• Стоимость отражения атаки на порядки
  дешевле стоимости самой атаки
Проект CDF
• Кластер в Amazon Elastic Cloud. Практически
  неограниченная эластичность и устойчивость к атаке на
  ширину канала, нулевая себестоимость входящего
  трафика (флуда).
• Два режима – ожидание и фильтрация. В режиме
  ожидания трафик идет напрямую, мощности и трафик
  EC не потребляются – абонентской платы нет.
• Мгновенное переключение в режим фильтрации за счет
  DNS с низким TTL.
• Тарификация в зависимости от потребленных ресурсов.
• Передовые технологии фильтрации трафика,
  позволяющие значительно снизить себестоимость
  решения, при этом отфильтровав 100% трафика.
В случае попытки атаки сайт будет быстро (и
      даже автоматически, если хотите!)
  переведен в режим фильтрации и как ни в
      чем не бывало продолжит работу.

  Атакующий осознает, что он просто зря
            потратил деньги.

      А ведь мог бы девушку вызвать или в ресторан сходить.
Вы уже поняли, что
    «Cloud DDoS Filter» и «Мечта!» – это
          одно и то же? Хорошо.

Если интересны технические подробности или просто хочется посмотреть
            красивые картинки – это есть на остальных слайдах.
Фильтр HTTP-трафика
Трафик из интернетов
распределяется на                           Управление
VDSы, фильтруется ими и       VDS        масштабированием
отдается серверу клиента
                              VDS
       DNS Load
                             Amazon           WEB-сервер
       balancer
                           EC2 dynamic         клиента
                             cluster

                              VDS

                                                Черный
       Интернеты
                                                список
Элемент кластера
          Экземпляр VDS



             FIREWALL



                          Smart
                DNS
   IDS                    HTTP
               server
                          proxy




 Черный             Информация о
 список               нагрузке
Технология фильтрации HTTP
Чуть допиленное, но хорошо известное старое.

В зависимости от успешности атаки (умности ботов), подключаются все более
    надежные методы отличить бота от человека. Стоит заметить, что подавляющее
    большинство атак будут отфильтрованы даже первыми двумя-тремя пунктами.

1. Большая часть атак производится очень тупыми ботами, которые палятся частотой
   и характером запросов (что будет обнаружено IDS и забанено на файрволе).
   Безопасно.
2. Если бот просто мусорит GET-запросами, не обрабатывая ответ, то попадется на
   301-редиректе и также будет зафильтрован через несколько попыток. Безопасно.
3. Чуть более умные боты не смогут притвориться браузером, правильно обработав
   cookie, javascript-код и т.д. Несет некоторую опасность ложного срабатывания, но
   это лучше, чем лежащий сайт.
4. Самые умные боты и невидимые окна браузеров будут зафильтрованы капчей (не
   обязательно “введите xR0iQ”, а облегченной версией типа «найди медведя на
   картине Шукшина»)

Cloud DDoS filter

  • 1.
    Cloud DDoS filter Именнооб этом мечтают жертвы DDoS-атак.
  • 2.
    До запуска CDF •Ежемесячно в Рунете «роняли» тысячу сайтов с помощью DDoS-атак. • Ни один организатор DDoS-атак ни разу в истории России не был привлечен к ответственности. • Ценовая категория - развлечение. Сходить в ресторан, заказать девушку или уронить сайт конкурента на несколько дней? Хм… • Превентивная защита стоит от $300 в месяц, а отсутствие – не меньше (если атака случится).
  • 3.
    До запуска CDF Перешел кому-то дорогу? Не хочешь отдавать за «крышу» в Интернет «лишние» $300 в месяц? Сотри свой сайт, забейся в угол и заплачь. Ты бессилен.
  • 4.
    «МЕЧТА!» • Сервис превентивнойзащиты от DDoS без абонентской платы. • Время простоя сайта под атакой – считаные минуты • Абсолютно эластичен – способен отражать атаку любой мощности • Стоимость отражения атаки на порядки дешевле стоимости самой атаки
  • 5.
    Проект CDF • Кластерв Amazon Elastic Cloud. Практически неограниченная эластичность и устойчивость к атаке на ширину канала, нулевая себестоимость входящего трафика (флуда). • Два режима – ожидание и фильтрация. В режиме ожидания трафик идет напрямую, мощности и трафик EC не потребляются – абонентской платы нет. • Мгновенное переключение в режим фильтрации за счет DNS с низким TTL. • Тарификация в зависимости от потребленных ресурсов. • Передовые технологии фильтрации трафика, позволяющие значительно снизить себестоимость решения, при этом отфильтровав 100% трафика.
  • 6.
    В случае попыткиатаки сайт будет быстро (и даже автоматически, если хотите!) переведен в режим фильтрации и как ни в чем не бывало продолжит работу. Атакующий осознает, что он просто зря потратил деньги. А ведь мог бы девушку вызвать или в ресторан сходить.
  • 7.
    Вы уже поняли,что «Cloud DDoS Filter» и «Мечта!» – это одно и то же? Хорошо. Если интересны технические подробности или просто хочется посмотреть красивые картинки – это есть на остальных слайдах.
  • 8.
    Фильтр HTTP-трафика Трафик изинтернетов распределяется на Управление VDSы, фильтруется ими и VDS масштабированием отдается серверу клиента VDS DNS Load Amazon WEB-сервер balancer EC2 dynamic клиента cluster VDS Черный Интернеты список
  • 9.
    Элемент кластера Экземпляр VDS FIREWALL Smart DNS IDS HTTP server proxy Черный Информация о список нагрузке
  • 10.
    Технология фильтрации HTTP Чутьдопиленное, но хорошо известное старое. В зависимости от успешности атаки (умности ботов), подключаются все более надежные методы отличить бота от человека. Стоит заметить, что подавляющее большинство атак будут отфильтрованы даже первыми двумя-тремя пунктами. 1. Большая часть атак производится очень тупыми ботами, которые палятся частотой и характером запросов (что будет обнаружено IDS и забанено на файрволе). Безопасно. 2. Если бот просто мусорит GET-запросами, не обрабатывая ответ, то попадется на 301-редиректе и также будет зафильтрован через несколько попыток. Безопасно. 3. Чуть более умные боты не смогут притвориться браузером, правильно обработав cookie, javascript-код и т.д. Несет некоторую опасность ложного срабатывания, но это лучше, чем лежащий сайт. 4. Самые умные боты и невидимые окна браузеров будут зафильтрованы капчей (не обязательно “введите xR0iQ”, а облегченной версией типа «найди медведя на картине Шукшина»)