Proveedor en España que ofrezca antiDDOS

Sí que se puede, pero ten en cuenta que un rate limit de 1 Mbps por source y ante un ataque de 2 Gbps implica miles de reglas dinámicas, aunque un sistema bien dimensionado debería poder absorverlo, el problema lo veo yo en que, aún con ese rate limit por source, en caso de ataque del volumen que indicas (2 Gbps) ese ataque se lo va a comer tu proveedor en lugar de tus servidores. No sé hasta qué punto un proveedor estará dispuesto a sufrir un ataque de esa dimensión, que según comentas sufres con total seguridad. Me imagino que dependerá de lo que estés dispuesto a pagar, pero por sólo 1.000 ó 2.000 euros al mes no creo que ningún proveedor te diga que sí. A mi un ataque de ese tamaño me parece un ataque de dimensiones muy importantes. He visto ataques UDP mucho más pequeños (100 a 200 Mbps) provocando problemas muy serios a routers y firewalls (de los grandes) más por los pps que por el ancho de banda.

En cualquier caso, yo creo que casi va a ser cosa de que vayas consultando directamente a operadores (Level3, Cogent, BT, Telefónica, etc) a ver qué solución te pueden dar ellos. A mi me da que cualquier otro proveedor de housing en España ante un ataque como los que recibes, tu te hacen un nullroute sí o sí sólo por temor a que les puedas desgraciar el servicio a los demás clientes que tengan.

 

Exacto es el problema los pps y el tipo de ataquen que hacen es devastador y para el negocio relativamente pequeño que es es una pasada.

Ya he contactado con algunos Tier-1 y sí hay soluciones , tienen filtros, pero están ubicados en Holanda o cosas así, entonces la latencia crece y para el servicio de juegos es clave.

Otra opción es que alguno de los que proveen housing actual tenga algún Tier-1 con éste tipo de protección.

De todos modos con uno de los proveedores se llegó a un método el cual con 2 carriers, un carrier se llevaba el tráfico internacional ( de donde provienen los ataques ) y otro se llevaba tráfico "nacional" sin filtrar. Los ataques siempre son de fuera, así que ésta es una solución también viable, el problema es controlar por dónde te entra el tráfico, que realmente te pase por el carrier que quieres

 

como bien dice cincinnati todo depende de numeros.

por ejemplo:

si quieres hacer lo de ovh necesitas un cisco 6509 y con una controladora decente te sale por unos 10.000 euros (sin puertos de 10GB)

si lo que prefieres es poner firewalls, puedes tirar de fortinet (el FortiDDoS-200A) supongo que seran unos 40.000 o 50.000 dolares mas aduanas

aparte tienes que contratar el trafico con los carriers, y depende del trafico que contrates te ponen un puerto u otro.

si contratatas un garantizado de 500 Mb te ponen un puerto de 1Gb
si contratas un garantizado de 1-2Gb te ponen un puerto de 1Gb o 10Gb

el mas barato ahora mismo es cogent (1 euro /Mb) pero no tiene transito en madrid con telefonica.

si quieres transito con telefonica te tendras que ir a un Interoute / Colt / Ono que el precio no creo que baje de los 4-5 euros / Mb.

ahora solo tienes que revisar tu target de precios por cada servidor y si te compensa o no montar todo el chiringuito


un saludo.

 

Hola Daniel, ahí está la cuestión, al no generar tantos ingresos económicamente es inviable. Por éso me preguntaba, si alguna empresa que ya tiene cierta infraestructura montada y aprovechando la conectividad ( normalmente tráfico entrante, poco se usa ) le puede interesar éste tipo de perfil.

Aunque tengo algún presupuesto por ejemplo de NTT que el tráfico protegido anti DDOS sale a +500 € ( el único problema es ése, que lo desvían por holanda ) y no hace falta tanta inversión

 

el tema no esta en el trafico entrante, sino en el numero de paquetes entrantes.

como decia cincinnati el problema es saturar la controladora de los switch por el numero de paquetes a procesar. y si eso se satura afecta a TODOS los clientes no solo tus servidores.

un saludo.

 

Sí de hecho con ataques pequeños como comentaban , de 100 con paquetes de 1byte son los que más daño hacen. Es totalmente cierto

Me pregunto qué se haría si ésto empezara a afectar a nivel web a las empresas de hospedaje en España, porque por lo que veo , nadie se salva

saludos

 

pues null route es la unica forma efectiva, aunque en casos de maquinas web, o de hosting, puedes desactivar por completo la capa UDP, cosa que no puedes hacer en los juegos.

un saludo.

 

Si es el problema, que se trabaja con ése protocolo y todo son inconvenientes.

Bueno a ver si encontramos algo o alguna compañía grande de hospedaje ha pasado por ésto y tiene la equipación adecuada

saludos,

 

A OVH tb le tiran los servers, tampoco es solución.

 

Hola,

Me registro en el foro con este "usuario", para no dar pistas de quién soy ni a qué se refiere lo que menciono. Me ha referido a este post una de las personas que ha hablado en el mismo.

A ver, te cuento...

Nosotros tenemos (no te diré dónde tampoco, pero es en España) dos appliances de Fortinet, de 1Gbps cada uno, en propiedad. Nos costaron algo más de 10.000 euros cada uno. Dispuestos en portchannel colgando directamente de uno de los cores BGP de la red. Dado que dicho core de red tiene una capacidad de switching de decenas de Gbps, no le cuesta nada repartir el tráfico entre los 2 canales del portchannel.

Las características de los equipos las tienes en fortinet.com/sites/default/files/productdatasheets/FortiDDoS-100A.pdf (te pongo el link de esta forma porque el foro no me deja si no tengo 30 posts, menuda bobada la verdad).

Estos appliances no son fáciles de administrar, y requieren un profundo conocimiento a bajo nivel de protocolos, y experiencia con entornos de mucho tráfico, y ni que decir tiene, a nivel de sistemas.

De tal modo, cada equipo recibe de forma más o menos balanceada la mitad del tráfico, llegando a una capacidad de tratamiento (y mitigación efectiva) de los mencionados 2Gbps.

Bien es cierto que nuestro caso, directamente, prescindo del tráfico UDP (lo bloqueo todo, y quien nos envía UDP directamente se da contra una pared), y en tu caso habría que hacer configuraciones granulares por puertos.

Me ha parecido que comentabas que necesitarías una limitación por puerto. Eso es perfectamente configurable, sin mayor dificultad. Ten en cuenta, eso si, que el tráfico UDP es más "tonto" que el TCP: mientras que esta clase de aparatos son bastante inteligentes y son capaces de descartar tráfico TCP maligno, el tráfico UDP no se presta a tantas cosas (el protocolo no da más de si).

Desconozco si tu situación es que tengas "200 puertos UDP", y que alguien te suelta un zambombazo de 800Mbps y te tira directamente el/los servidores con sólo apuntar a uno de los puertos. Si te da igual perder el puerto que se ataca, entonces si que se puede decir que dicho ataque sólo se cargaría el puerto atacado, y dejaría intacto todo lo demás. ¿Es esta la situación?

De llegar hipotéticamente a algún tipo de acuerdo (de los 2Gbps posibles a cubrir, nuestras necesidades de tráfico operacional sin ataques no pasan de 40Mbps, lo cual deja casi todo el canuto disponible libre), habría imposiciones técnicas, amén de las que a nivel contractual/económico después se definieran con otra persona que no sería yo. Dichas condiciones son:

a) Deberéis asumir el coste de una ampliación de licencia en los aparatos. Sin entrar en detalles, están utilizados en su capacidad total por patrones definidos y muy granulares (y efectivos) a nivel TCP para 4 tipos de tráfico en concreto que queremos (y podemos) proteger. Esto lo digo porque no voy a deshacer lo que tengo, para dar cabida a algo nuevo.

b) Vuestro direccionamiento IP protegido debe estar en una única subnet.

c) En caso de que sufráis un ataque que sature la capacidad operacional de los 2 equipos y, por tanto, afecte a nuestra operativa normal, se os hará null-route a dicha subnet de forma inmediata (creo que es razonable y lo entiendes). No porque se acaben los 2Gbps (hay más), sino porque, sencillamente, se sobrepasa la capacidad operacional de los equipos.

Si te interesa, pues me comentas.

Saludos.

 

Y como esto tampoco me deja editar el mensaje pasados 5 minutos (.................) añado:

d) En caso de sufrir nosotros un ataque, os podría llegar a afectar a vosotros. De todos modos te digo que en año y pico, salvo uno puntual de 5.4Gbps, el resto no han pasado del Giga. Lo normal es que oscilen entre 200-300Mbps y 700-800Mbps.

e) En caso de que un ataque a vosotros que nos afecte a nosotros, pediremos el null-route de vuestro rango. Entenderás que, como otras cosas que te he dicho, es razonable.

Saludos.

 

Buenas,

me parece muy interesante lo que me comentas y es más o menos lo que buscaba, alguien que ya tuviera algo y aprovechar la infraestructura

Me interesaría aprofundizar en ésto, si quieres contacta conmigo en mi mail, sale en el perfil y hablamos, a ver qué tenéis y cómo podríamos hacerlo

Viniendo tráfico directo del core y balanceando es una buena vía. Actualmente lo que tenemos es un catalyst 2960G , pero cuando pasan de 800 MBPS ya hay packet loss por los paquetes por segundo.

En el fortinet ( las specs ) no veo los PPS que aguanta, sí las sessions, el tipo de ataque que hacen es a una IP en concreto o a otra IP, depende del servidor que ataquen. En cada máquina hay varias IPS. Algo plausible sería que vale, atacan una IP pero que el resto no lo note

saludos,

 

Te he respondido por mensaje privado. Los PPS, 1 millón (hace no mucho uno solito de los 2 appliances estuvo tranquilamente descartando durante 3-4 días, muchas horas al día, 600-700k por segundo)

Saludos.

 

Daguilar, en primer lugar darte mis "condolencias" es una auténtica canallada que os estén haciendo este tipo de ataques que no os permiten desarrollaros normalmente. Por otra parte, he estado pensando en vuestro problema y sinceramente creo que tendríais que empezar a llamar a las puertas de los proveedores GRANDES de verdad (Y con GRANDES me refiero a tipo COGENT, es decir carriers directamente)

Por ejemplo, hace un tiempo hablando con un comercial de Cogent nos ofrecieron literalmente "los equipos que utilizaba megaupload" son máquinas grandes (Dual Xeon Nehalem con 48GB RAM y 6HDD) y pagas un coste de risa, ya que pagas un mínimo por tener el equipo y después un tanto por GB transferido (Que era realmente bajo). Son equipos sin ningún tipo de servicio añadido, es decir, olvidate de administración, reinstalación o cualquier cosa, vienen como vienen con un Linux y listos.

Obviamente esas máquinas no te aguantan un ataque a 2gbps UDP ni de broma, pero no se si Cogent ofrece servicio de AntiDDOS -pero megaupload algún que otro DDOS debía recibir- te lo comento como ejemplo de opciones que no son muy conocidas ya que no llegan al gran mercado pero que están allí.

También podrías tener un par de lineas, una para nacional y otra para internacional, y falsear el BGP en la nacional para que el tráfico internacional te entre siempre por una línea y dejar que esa línea se sature o incluso que ese proveedor te tire el tráfico a NULL y ni te lo envíe. Eso requiere hablar con los proveedores y ver que opinan ellos, pero quizás puedes llegar a hacer algo por esa vía.

En cualquier caso como te decía, una canallada sin duda lo que os están haciendo.

 

silicontower -> cogent no tiene ningun servicio AntiDDOS, sobre los servidores que comentas no tienen hosting en españa, solo en algunas ciudades de europa y de USA.

un saludo.

 

Comvive, ya se que no ofrecen esos servidores en España -y de ningún tipo hasta donde se, ya que no tienen DC en España- pero como decia en el post es un ejemplo de soluciones no conocidas por el gran público que quizás puedan dar alguna idea a Daguilar.

 

Si buscas protección superior a 1 Gbps asumo que tienes conectividad superior a eso no? de lo contrario no tendría sentido ya que tu conexión se saturará antes de que cualquier dispositivo puede siquiera actuar.

Si tienes una línea 10 Gbps un equipo como el Juniper SRX-1400 ayudará ($8000) siempre puedes adquirirlo en leasing/crédito

Otra opción es un servidor Pfsense si usas nics de 10 GbE Intel de excelente calidad y un buen procesador ejemplo E3-1270 podrás hacerle frente a ataques de relativa magnitud a ún costo de menos de $2000 por dispositivo, no tengo experiencia directa con Pfsense y ataques DDoS pero si conozco un par de administradores que dicen tener buenos resultados con esta solución

Tienes idea del los pps en los ataques que has tenido?

 

Datacenter1 no conozco los Pfsense estos, pero son capaces de mover millones de paquetes por segundo, o estamos igual que con todo lo basado en arquitecturas x86? (Excepto las cositas nuevas que estan haciendo gente como Vyatta con las últimas NIC y CPUs intel, o como las movidas que se llevan entre manos la gente de ntop.org?)

 

Es pasado en FreeBSD pero no creo que sea posible superar 1.000.000 pps Vyatta dice que soporta varios millones (3 la última vez que verifiqué) pero se refieren a paquetes standard (1500) por lo que en la práctica ante un ddos morirán mucho antes, la única opción con x86 es usar varios dispositivos en paralelo

 

Por cierto, se que es un poco off-topic, pero no me he podido resistir!

Mirar lo nuevo de Ubiquiti, un router de menos de 100€ que mueve un millor de paquetes por segundo!! ubnt.com/edgemax

Pronto ampliarán la gama según tengo entendido, a ver que hacen