Мы разрабатываем два продукта в области защиты от DDoS атак.

Первый продукт называется Filter. Filter представляет собой высокозащищенный http proxy сервер со встроенными возможностями фильтрации трафика. Мы используем различные техники, чтобы определить, был ли запрос послан легитимным пользователем или атакующим зомби (бот).

Filter может защищать от всех типов распростаненных DDoS атак на http/https, включая SYN flood (на уровне ОС), slow HTTP, GET или POST flood.

Один фильтрующий сервер, построенный на современном аппаратном обеспечении, в состоянии обслуживать 25-30 тысяч HTTP запросов в секунду, что достаточно, чтобы отфильтровать ботнет малых и средних размеров. Система допускает простую горизонтальную масштабируемость - в случае необходимости количество фильтрующих серверов может быть увеличено без ограничений.

Для максимизации защиты Filter может быть совмещен брандмауэрами уровня приложения ModSecurity или Naxsi. Filter не сможет защитить вас от атак на вашу сетевую инфраструктуру, когда атакующая сторона забивает ваще подключение к Internet паразитным трафиком (flood). В таких случаях мы рекомендуем договариваться с вашим поставщиком интернет услуг о фильтрации нежелательного трафика на границе сети.

Filter имеет встроенное API построенное на JSON, которое позволяет защищаемому приложению управлять фильтрацией входящих запросов.

Filter разработан и протестирован на Debian Linux Jessie.

Система может быть интересна как отдельным потребителям, стремящимся обезопасить свой web-сервер, так и датацентрам - как дополнительная услуга по очистке трафика своих абонентов.

Второй разрабатываемый нами продукт называется Perimeter. Perimeter это одновременно и пакетный фильтр и система обнаружения атак. Система предназначена для борьбы с паразитным трафиком на границе сети.

Технически Perimeter представляет из себя прозначный мост Ethernet. Он может обрабатывать пакеты формата 802.3 ethernet, 802.1q VLAN, Q-in-Q и полностью совместим с протоколом LACP. Perimeter полностью прозрачен для VTP, Spanning tree и других не IP протоколов.

Perimeter может обнаруживать паразитный трафик (flood) и автоматически блокировать поток, основнываясь на сетевой информации уровня IP, используемых протоколах, TTL, флагах IP и TCP, портах, размерах пакетов, аномалии TCP/IP, информации GeoIP, и самостоятельно инициировать блокировку на уровне протокола BGP (black hole), если это необходимо. Perimeter так же поддерживаем возможность управление фильтрами вручную по спецификации Juniper FlowSpec, что позволяет быстро и удобно из одной точки управлять любым количеством экземпляров Perimeter. Различная статистическая информация доступна в реальном времени через web-интерфейс.

Для работы Perimeter требуется 64bit Debian Linux Jessie, многопоточные сетевые карты Ethernet, поддерживаемые технологией Netmap. Для поддержки VLAN и Q-in-Q, из-за особенностей реализации сетевого стека в Linux, потребуется наложение дополнительных патчей на сетевые драйвера.

Производительность системы Perimeter зависит от аппаратного обеспечения. Наша тестовая лаборатория обрабатывает 1 миллион пакетов в секунду на сервере с Intel Xeon [email protected]/Intel E1G42ET Ethernet при средней нагрузке на процессор порядка 12%.

Система Perimeter находится на стадии активной разработки и тестируется несколькими интернет-провайдерами. Сейчас в работе модуль защиты от SYN-flood и поддержка IPv6.

Так же мы готовы готовы предложить услуги по разработке систем защиты для различных не обычных случаев (SIP, DNS, SMTP) DDoS атак.

Контакты:

skype: nocservice.skype
email: [email protected]