The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.08.2016 23:39  Открыт код Syncookied, системы защиты от DDoS-атак

Компания Бегет открыла исходные тексты проекта Syncookied, в рамках которого развиваются система для защиты от различных типов сетевых атак, включая флуд пакетами с флагами SYN и ACK. Syncookied эмулирует функциональность syncookie ядра Linux, использует тот же алгоритм генерации cookie, но обладает более высокой производительностью при противостоянии атакам, благодаря прямой обработке пакетов через netmap. Код Syncookied написан на языке Rust (расчёт контрольных сумм на Си с ассемблерными оптимизациями и использованием SIMD для SHA-1) и распространяется под лицензией GPLv2.

Syncookied может использоваться в качестве свободного аналога коммерческим решениям, использующим технологию SynProxy. Предложенное в Syncookied решение может применяться для создания фильтрующего сервера, блокирующего атаки на другие хосты в локальной сети. Производительности 10 ядер процессора Intel Xeon E5-2680v3 достаточно для обработки 10 гигабит трафика, физический сервер способен обрабатывать более 40 гигабит трафика. Развёртывание Syncookied максимально упрощено и не требует дополнительной конфигурации.

Для получения секретного ключа, используемого каждым хостом для верификации cookie, на защищаемых конечных хостах требуется загрузка специального модуля ядра и запуск фонового процесса "syncookied server", передающего ключ и синхронизирующего метки времени с централизованным сервером фильтрации трафика. На сервере фильтрации syncookied запускается в режиме фильтра (syncookied -i eth2) и настраивается прямая передача трафика от сетевой карты через netmap. Во время атаки на маршрутизаторе входящий трафик перенаправляется на сервер фильтрации, на котором отсеивается флуд и на защищаемый сервер транслируются только корректные пакеты.

Кроме борьбы с DDoS-атаками syncookied также поддерживает определение произвольных правил фильтрации трафика, которые задаются в формате pcap-filter. В правилах блокировки можно комбинировать IP, порт, протокол и т.п. Cистема также может сохранять статистику в БД InfluxDB, на основе которой можно генерировать графики для анализа динамики DDoS-атаки.



  1. Главная ссылка к новости (https://beget.com/ru/articles/...)
  2. OpenNews: Серия уязвимостей в реализациях HTTP/2
  3. OpenNews: CloudFlare применил NetMap для повышения скорости обработки пакетов в Linux
  4. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  5. OpenNews: Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
  6. OpenNews: Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ddos, syncookie, rust
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, Alexey, 01:33, 29/08/2016 [ответить] [смотреть все]
  • +6 +/
    код ресурсоемких операций написан на assambler
     
     
  • 2.4, Аноним, 01:44, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –4 +/
    Можно было на lua в асам стиле
     
     
  • 3.41, Аноним, 22:04, 01/09/2016 [^] [ответить] [смотреть все]
  • +/
    Можно даже на брейнфаке, только скорость гольного ассемблера не получится ... весь текст скрыт [показать]
     
  • 2.10, Аноним, 09:06, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    assembler, а не assambler :)
     
     
  • 3.29, Аноним84701, 15:15, 29/08/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Если уж исправлять, то на assembly, а не assembler Assembler 8212 непосре... весь текст скрыт [показать]
     
     
  • 4.38, Alexey, 17:54, 31/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Простите, господа - был пьян. В следующий раз учту.
     
  • 1.5, Аноним, 01:57, 29/08/2016 [ответить] [смотреть все]  
  • +1 +/
    Так netmap пришел из BSD ясен пень ... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 02:15, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –12 +/
    https github com luigirizzo netmap tree master LINUX Нет, как видно из ридми, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, Аноним, 02:20, 29/08/2016 [^] [ответить] [смотреть все]  
  • +8 +/
    > netmap/tree/master/LINUX

    Это портировали уже для линукса.

     
     
  • 4.12, Andrey Mitrofanov, 10:22, 29/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот github-овский initial commit - https github com luigirizzo netmap commit ... весь текст скрыт [показать]
     
  • 3.22, Аноним, 13:03, 29/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Дорогой борцун, исторически, всё с точностью до наоборот Но зачем тебе изучать ... весь текст скрыт [показать]
     
  • 3.30, Jan Dakinevich, 15:57, 29/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Читать научись ... весь текст скрыт [показать]
     
  • 2.13, Andrey Mitrofanov, 10:28, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Да, не Пришёл он из грантовых денег интеля и ею, выбитых себе университетом П... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 02:30, 29/08/2016 [ответить] [смотреть все]  
  • +3 +/
    добавьте Rust в ключевые слова, это очень важно. Спасибо, годнота 100%
     
  • 1.9, Аноним, 08:19, 29/08/2016 [ответить] [смотреть все]  
  • +2 +/
    А что, ещё кто-то DDoS-ит SYN-флудом Мне казалось это уже давно пройденный этап... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 09:33, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Досят ещё как Один линуксовый сервер в любой конфигурации с помощью iptables -J... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, Demo, 10:40, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В инете не только HTTP, дружище Есть куча других протоколов ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, rob pike, 16:15, 29/08/2016 [^] [ответить] [смотреть все]  
  • +/
    binkp используете?
     
  • 2.17, rob pike, 11:22, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вы не понимаете.
    Это написано на Rust.
    НА RUST.
     
     
  • 3.23, Аноним, 13:14, 29/08/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    это ты не понимаешь, pony лучше rust, но сдохла.
     
  • 3.27, Andrey Mitrofanov, 15:02, 29/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Да, коллега Итальянская академическая наука двигается от freebsd к freebsd lin... весь текст скрыт [показать]
     
     
  • 4.32, _, 17:01, 29/08/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    https github com rust-lang rust blob master COPYRIGHT The Rust Project is dua... весь текст скрыт [показать]
     
     
  • 5.34, Andrey Mitrofanov, 17:25, 29/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Да Грустно Люди не понимают риторики и иронии над ними Но старательно защищаю... весь текст скрыт [показать]
     
  • 1.15, Аноним, 10:47, 29/08/2016 [ответить] [смотреть все]  
  • +/
    Это лучше, чем Sustricata?
     
     
  • 2.16, SysA, 11:20, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Это лучше, чем Sustricata?

    Это другое! :) см. #14

     
  • 2.20, Аноним, 12:28, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это как syncookie но с меньшим процессорным овэрхэдом , то есть столь-же дыряво... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Аноним, 12:26, 29/08/2016 [ответить] [смотреть все]  
  • +/
    TCP cookie transactions недопилили из 6013-го RFC, повыкидывав и deprecate-нув е... весь текст скрыт [показать]
     
     
  • 2.24, Аноним, 13:36, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    DNSSEC тоже бы deprecate-нуть, ну ужасный ведь костыль надстройкой.
     
     
  • 3.26, Аноним, 14:35, 29/08/2016 [^] [ответить] [смотреть все]  
  • +/
    HTTPS так же И что ... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 05:31, 01/09/2016 [^] [ответить] [смотреть все]  
  • +/
    так давно-ж. startTLS рекомендовано заменять киданием websocket поверх ipsec ;)
     
  • 3.28, Sw00p aka Jerom, 15:03, 29/08/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    а вот тут по подробней плиз )))))
     
  • 3.37, cvb, 08:37, 30/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Вы ведь уже придумали решение получше Можно почитать Ваше решение на сайте http... весь текст скрыт [показать]
     
  • 3.39, Аноним, 05:28, 01/09/2016 [^] [ответить] [смотреть все]  
  • +/
    ага и IPSEC с IPv6 сразу заодно, ибо defective by design , неконсистентно, пере... весь текст скрыт [показать]
     
  • 1.33, Аноним, 17:03, 29/08/2016 [ответить] [смотреть все]  
  • +/
    Производительности 10 ядер процессора Intel Xeon E5-2680v3 достаточно для обрабо... весь текст скрыт [показать]
     
     
  • 2.35, Andrey Mitrofanov, 17:28, 29/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > Производительности 10 ядер процессора
    > гигабит трафика, физический сервер способен
    > А потом что?  Новые ядра покупать?

    Продавать (но прежде -- гранты и побольше)!

    Кластер. Облако. Кубит! Нейтринные вычислители... Сингулярность...

     
     
  • 3.42, Аноним, 22:07, 01/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот оно что, митрофанушка то оказывается AI. Будущий.
     
     
  • 4.43, Andrey Mitrofanov, 10:14, 02/09/2016 [^] [ответить] [смотреть все]  
  • +/
    > Вот оно что, митрофанушка то оказывается AI. Будущий.

    Тебя естественным обделили??

     
  • 1.44, Alexey, 13:27, 19/09/2016 [ответить] [смотреть все]  
  • +/
    https://habrahabr.ru/post/301892/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor