Google уже проиграл?

[vitus_wagner]

Недавние DDoS атаки на ЖЖ показали насколько беззащитны от подобного вандализма сетевые сервисы. У Google кластер, может и помощнее будет, чем у ЖЖ, но не на порядки. Принципиально это сервисы одного класса, максимального в мире.

Теперь представьте, что ваша компания строит свои бизнес процессы на основе Google Office, а в это время какая-то маргинальная террористическая группа решает вывести из строя, ну, скажем Green Peace, который тоже пользуется Google Office. И устраивают DDoS на сервера Google. (если веселые ребята-технократы вроде mauhuur решат обидеть Гринпис, они ведь подойдут к этому вопросу куда более технически грамотно, чем та группа прокремлевских script kiddies, которые атакавали ЖЖ)

Положение будет похуже губернаторского того, что было когда во всей Москве свет отключили. Если свет отключили, есть UPS-ы, резервные дизельгенераторы, аккумуляторы в ноутбуках.
А если отключили провайдера офисного приложения, на серверах которого все ваши документы, или хотя бы любой из промежуточных рутеров, вокруг которого нет резервного маршрута, то полный абзац.

Нет, конечно, держать ценные данные и приложения на серверах, под контролем опытных сисадминов - это хорошо. Но только до тех пор, пока этот сисадмин получает зарплату в вашей фирме, и вы принимаете решение, кого резать на файрволле, а кого нет. А если сильно приспичивает кого-то из внешнего мира пускать (ну поехал ценный сотрудник в командировку), то можно и VPN поднять.

Кстати, вот sourceforge что-то тоже подтормаживает - там что тоже НБП с ДПНИ? Вряд ли.

В общем, на мой взгляд, битву за основное бизнес-приложение Google не выиграть - ни у Microsoft, ни у OpenOffice.

Comments

[city-rat.livejournal.com]

Да эту математику как ни реализуй - там сама идея порочна и сводится к снижению производительности компа или канала. Пофиг, как делать: привязать разной степени извращенности гири в протоколе или просто порезать канал.

Ильин, как мне кажется, просто не подумал вовремя, что вирусам никто не мешает заниматься теми же расчетами, а теперь по дурной фидошно-интернетовской привычке пытается реанимировать нелепую идею.

Проблема-то в селекции легальных и нелегальных запросов.

Админ локалки (и то не самой большой) - да, может себе позволить разные изящные ухищрения типа того, что вы в пример привели. Крупный пров - да как он отфильтрует агнцев от козлищ? Только путем дорогостоящего статанализа трафика, вылова сигнатур и т.п. Железо под это есть, но дорогое. Тратиться всем в лом.

[http://users.livejournal.com/_pacak_/]

Отлавливать козлищ в принципе можно. Предположим есть N локальных серваков, M свичей с диапазонами на VLANах и несколько каналов до разных ASок. Внутри ASок маршруты раздаются по RIPу. default route в каждой из таких ASок настраивается на некий тазик который сидит и слушает. Далее делаем предположение о том что юзеры глупы и антивирусов у них нету - стало быть вирусов у них больше одного и некоторые из вирусов глупые.

1) Нормальный пользователь ползет на какой-нить сервак или по p2p к другому пользователю. Маршруты все есть - все летает нормально, тазик сидит тихо.
2) Вирь начинает сканировать диапазон и срать всем подряд на 135/139 порт. На что-то маршрут есть. А на что-то его нету. Ненужный трафик летит на тазик-шпион который сидит и считает. А потом - БАХ! По snmp создаем ACL на ближайшем управляемом к нехорошему пользователю свиче, пишем в админу письмо о том что Василий Пупкин нехороший человек и готово.

[city-rat.livejournal.com]

Ну это, собственно, и есть статанализ трафика. Еще добавьте вылов сигнатур.

Да, это можно делать. Но дорого весьма и весьма, ресурсоемко, страшно хлопотно, а главное - непонятно, что дальше делать. Ну пришло вам письмо, а дальше? В конторской сети - ну, пошлем аникейщика переставить винду. А у прова-коммерса? Всех-то завирусованных не поотрубаешь - уйдут к более ленивому прову.

Да и за трафик они платят исправно.

[http://users.livejournal.com/_pacak_/]

А дело в том что у более ленивых провов сетка во время всплесков солнечной активности падает намертво. Сейчас например популярен флуд мелкими UDP пакетами на 80й порт. А у меня в особо критических случаях я знаю кому где кислород перекрыть чтобы оно работало. Думаю слегка доработать чтобы при превышении разумных пределов завирусованности еще и перекрывало доступ таким товарищам. Завирусованных на самом деле не такой большой процент и многие из них сами чинят систему после сообщения им о бесчинствах что их комп творит.

[city-rat.livejournal.com]

Зависит же еще от размера сетки.

Я немного знаком с ситуацией у ОпСоСов. GPRS тоже активно используется для рассылки спама. Представляете себе - анализ потока с нескольких миллионов точек?

[http://users.livejournal.com/_pacak_/]

Зависит. По хорошему большую сетку надо разбивать. Разделяй и властвуй :)
Про поток с миллионов точек - там да, там сложно. К счастью пока у меня сетка поменьше.

[city-rat.livejournal.com]

Дык дробить сеть == строить иерархию. Т.е. геометрическая прогрессия узлов. На каждый узел нужен интеллектуальный фильтр трафика, следовательно - удорожается и железо, и администрирование.

Т.е. не вопрос, решения есть, но дороги и хлопотны. Т.е. упирается все не в принципиальную невозможность решить проблему, а в финансовую и организационную.

[http://users.livejournal.com/_pacak_/]

Гхм. Так. Все. Спасибо за содержательную беседу - я спать :)