Мы используем cookie-файлы для улучшения предоставляемых услуг. Продолжая навигацию по сайту, вы соглашаетесь с правилами использования cookie-файлов.
дата - центра
Карта магистральных сетей GlobalNet
Фильтры
Поиск по карте
14 мар. 2021
Вопросы и ответы про IX DDOS PROTECTION
1. Каким образом работает защита?
При обнаружении DDoS атаки, Arbor TMS анонсирует /32 защищаемый префикс с измененным next-hop всем участникам DATAIX. При этом все остальные префиксы вы получаете в обычном режиме.
Весь “зараженный” трафик попадет на систему очистки, после чего нелегитимный будет отброшен, а легитимный вернется участнику DATAIX. Чтобы трафик можно было перенаправить в систему очистки, необходимо, чтобы каждый участник IX начал принимать /32 префиксы со специально созданным для этого BGP community - 0:65500.
Префиксы участников попадают под защиту только после того, как участник оставит заявку на подключение сервиса и укажет, какие именно префиксы он хочет защищать.
2. Каким образом мне подключить сервис защиты от DDoS?
Для подключения сервиса вам необходимо обратиться к вашему менеджеру или написать заявку на специальный почтовый ящик ix32@dataix.ru.
В заявке нужно показать, что вы уже начали прием /32 префиксов с BGP community 0:65500 (достаточно приложить выдержку из файла конфигурации или скриншот), и указать префиксы, которые вы хотите защищать.
Важно! Мы защищаем только префиксы наших непосредственных клиентов, которые зарождаются в вашей AS. Эти данные формируются на основании RIPE/RADB.
3. Не возникнут ли ситуации, что с помощью анонсов /32 будут происходить манипуляции трафиком?
Нет, так как мы не будем принимать на Route-Server-ах /32 префиксы от участников, соответственно вы будете получать их только от наших RS и только с определенным BGP community (0:65500).
Если кто-либо из участников попробует проанонсировать нам свои /32 префиксы - они будут отброшены (кроме blackhole с community 0:666). В этом вы можете убедиться, воспользовавшись сервисом Looking Glass.
При этом, если участник согласился защищать свои префиксы в рамках DATAIX, то могут возникнуть ситуации, когда трафик из точки А в точку B изменит направление движения во время атаки за счет появления более специфичного маршрута. Такое поведение продлится до конца атаки. Если вы хотите его поменять - свяжитесь с нашими специалистами.
4. Каков максимальный объем очищаемого трафика?
Сейчас мы обладаем ресурсами для очистки 40 Gbit/s в один момент времени в рамках IX
5. Сколько префиксов /32 мы можем получить через DATAIX?
Учитывая среднюю частоту DDoS атак, число таких префиксов не будет превышать 150-200 в самом худшем случае. При отсутствии DDoS атак вы не увидите такой тип префиксов.
6. Где находится система фильтрации трафика?
В данный момент система фильтрации находится в Санкт-Петербурге. Так, если ваш префикс попадет под атаку и Arbor его проанонсирует с новым next-hop - то трафик от всех участников DATAIX до атакуемого префикса будет направлен через СПб, что может вызвать повышение RTT в конкретный момент времени для конкретного хоста.
7. Какой еще дополнительный функционал существует у данной услуги?
Мы можем предложить кастомизацию шаблона по обнаружению атак под вашу сеть и кастомизацию шаблона контрмер.
Также, по желанию, вы можете получать уведомления на почту об атаках на ваши префиксы.