Будьте в курсе наших новостей и продуктов!
Подпишитесь на ежемесячный обзор самых популярных идей Интернета от CURATOR!

Отправляя свой адрес электронной почты, вы соглашаетесь с политикой конфиденциальности

Войти Зарегистрироваться Я под атакой
Главная / Медиацентр / Новости /
Qrator Labs выбирает Arista в качестве технологической основы для нейтрализации DDoS и обеспечения повышенной надежности

Qrator Labs выбирает Arista в качестве технологической основы для нейтрализации DDoS и обеспечения повышенной надежности

31 октября 2017

Qrator Labs  является одним из наиболее широко распространенных и высоко оцененных поставщиков услуг нейтрализации атак на отказ в обслуживании (DDoS-атак) в Восточной Европе. В связи с международным развитием своей сети фильтрации трафика компания Qrator Labs обновила критическую инфраструктуру, установив программное обеспечение Arista Networks, создав мощную, масштабируемую и экономически эффективную основу для будущих инноваций с непревзойденным уровнем надежности.

История проекта

В 2006 году Александр Лямин, на тот момент сотрудник Московского Государственного Университета, приступил к исследованию проблем, создаваемых DDoS-атаками. В течение нескольких лет команда под его началом изучала механику DDoS-атак и разработала алгоритмы и меры, позволяющие эффективно противостоять этим потенциально разрушительным угрозам. К началу 2009 года команда создала специализированное приложение в виде набора технологий, способных автоматически обнаруживать и фильтровать атаки.

Для полевых испытаний разработанных алгоритмов и аппаратного обеспечения г-н Лямин выпустил открытую бета-версию продукта. В течение 18 месяцев любой, кто оказывался уязвим перед DDoS-атаками, мог бесплатно протестировать технологию — за этот период более 600 компаний и частных лиц воспользовались данной возможностью, позволив Александру Лямину и его команде оценить эффективность приложения на реальных атаках, собрать уникальную статистику и точно настроить алгоритмы.

В 2009 году Александр Лямин основал компанию Qrator Labs, превратив инновационный исследовательский проект в успешный коммерческий продукт облачную услугу нейтрализации DDoS. На сегодняшний день Qrator Labs является сервисом номер один по противодействию DDoS в России и одним из крупнейших поставщиков в Восточной Европе  обеспечивая защиту финансовых организаций, средств массовой информации, игровых платформ, правительственных ресурсов и проектов из других областей.

Вызов

С устоявшейся региональной клиентской базой, начиная с 2014 года, Qrator Labs расширяла свое присутствие в мире для предоставления услуг по противодействию DDoS заказчикам из разных стран, удовлетворяя растущий глобальный спрос на такую услугу. На этапе расширения были созданы точки присутствия в США, Нидерландах, Швеции, Казахстане, Гонконге и в России.

Принимая во внимание увеличивающееся количество клиентов, использующих услуги нейтрализации DDoS, в Qrator Labs начали задумываться о том, как можно наиболее эффективно масштабировать собственную технологию, чтобы справиться с ростом числа заказчиков и увеличением объёмов интернет-трафика. Как поясняет генеральный директор  Qrator Labs Александр Лямин: “У нас был наш фильтр-узел, подключенный непосредственно к оборудованию интернет-провайдера (маршрутизаторы, коммутаторы с балансировкой нагрузки), хотя напрямую мы им никогда не управляли. Данная конфигурация работала на определённом этапе, но с нашим почти экспоненциальным ростом необходимо было иметь прямой контроль над происходящими процессами для обеспечения требуемого качества обслуживания, а также над метриками, которые мы собираем и отслеживаем с целью минимизации времени реакции на атаку”.

Нейтрализация объёмных и сложных DDoS-атак требует значительной пропускной способности сетевых  и вычислительных ресурсов. План Qrator Labs заключался в том, чтобы увеличить, в первую очередь, количество точек присутствия. В то же время, оценивая собственные возможности, компания быстро осознала, что использование оборудования интернет-провайдеров для преследуемых целей обходится очень дорого. “Огромные ежемесячные расходы просто не подходят для нашей компании, которая не имеет стороннего финансирования и растет самостоятельно, используя только генерируемую прибыль,” — говорит г-н Лямин.

Принимая во внимание этот факт, командой Qrator Labs было решено, что на каждой из имеющихся точек присутствия необходимо развернуть собственную сетевую инфраструктуру для реализации распределения трафика по фильтрующим элементам. В лаборатории Qrator Labs были разработаны критерии для выбора. Кроме прочего, от сетевых устройств требовались поддержка ECMP с IP-адресом источника и назначения и достаточное количество 10 Гб-портов для организации производительных  масштабируемых соединений с поставщиками связности и клиентами. Платформа не должна была иметь потери пакетов при нагрузке, близкой к максимально заявленной. Стоимость оборудования также имела важное значение.

Решение

Первоначально компания рассматривала специализированные балансировочные решения поставщиков, в том числе F5 Networks. Однако они оказались слишком дорогостоящими и обладали некоторыми функциями, такими как управление трафиком, которые Qrator Labs не требовались либо дублировали функционал собственных приложений компании. Qrator Labs уделила также внимание Juniper MX и маршрутизаторам Cisco ASR, но была не удовлетворена рядом характеристик, таких как существенные затраты на приобретение, необходимость выделения большого объёма пространства в стойке, высокое потребление электроэнергии, повышенная сложность  и невозможность анализа трафика OSI L7.

Коммутатор третьего уровня OSI в конечном счёте оказался решением, близким к идеальному: “Коммутаторы имеют меньший размер таблицы маршрутизации, что может сказываться отрицательно на наших задачах, поэтому ранее мы такой вариант не рассматривали”. Однако экстенсивный рост Qrator Labs предполагал получение долгосрочной выгоды от способности быстрого масштабирования при снижении затрат. Поэтому в Qrator Labs провели множество экстенсивных тестов различных технологических альтернатив. Как объясняет Александр Лямин: “Мы оценили несколько платформ  от Cisco, Juniper, Arista и Extreme. Используя генераторы трафика, мы внимательно следили за потерей пакетов, поскольку загрузка повышалась вплотную до скорости порта оборудования. Кроме того, мы протестировали ECMP и PBR на цифрах, близких к максимально заявленным уровням”.

Во время тестирования оборудования некоторые решения показывали неприемлемый уровень потери пакетов, что имеет решающее значение для сервиса фильтрации трафика. На тестах ECMP с повышением количества передаваемого трафика часть проверяемых платформ выключалась, не достигнув и нескольких процентов от заявленной пропускной способности. “В проведенных нами тестах коммутатор Arista показал себя лучше всего с точки зрения работы оборудования и программного обеспечения”, — отмечает г-н Лямин. Для обеспечения оптимальной эффективности службы Qrator Labs необходимо управлять BGP flowspec - расширением к протоколу BGP, который позволяет передавать правила пакетного фильтра с одного маршрутизатора на другой с использованием протокола BGP. Хотя встроенный в коммутатор Arista BGP-демон не поддерживал требуемый функционал, открытый характер архитектуры Arista EOS означал, что Qrator Labs могли установить сторонний демон - ExaBGP для инъекции flowspec своим вышестоящим поставщикам IP-транзита.

Qrator Labs добавили ряд дополнительных приложений и расширений непосредственно в коммутатор Arista для повышения функциональности своих служб нейтрализации DDoS. При попытке обойти ограничения меньших таблиц маршрутов и ECMP Qrator Labs столкнулась с некоторыми техническими трудностями и обратилась к Arista за консультацией: “Мы получили не только быстрый ответ, но нам также предложили SDK и выделенного инженера, который помог нам с установкой, — отмечает  Александр Лямин. —  При помощи SDK мы обнаружили, что решение по обновлению маршрутов неправильно реализовало ECMP, о чём мы сообщили Arista , и через неделю получили рабочее обновление. Мы очень довольны клиентоориентированностью нашего партнера и высоким качеством обслуживания”.

Заключение

Получив необходимый уровень производительности надежности, Qrator Labs начала развертывать коммутаторы Arista на всех своих точках присутствия. С помощью созданных для данного случая демонов и программного обеспечения Qrator, работающего в каждом коммутаторе, сеть Qrator может также доставлять пользовательскую телеметрию, необходимую для идентификации и блокировки атак DDoS. По словам Александра Лямина, цели проекта модернизации были достигнуты, и L3 коммутатор Arista оказался надежной основой для дальнейшего расширения. “В январе 2016 года у нас произошел несчастный случай, когда коммутатор потерял память (NAND) и, хотя он продолжал работать, мы были вынуждены его перезапустить. Однако мы не знали, продолжит ли он нормальную работу после выхода в сеть, так как всё хранилось во флеш-памяти коммутатора. Мы связались с Arista TAC, но в это же время коммутатор перезапустился и с тех пор успешно работает”, — отмечает г-н Лямин.

Продолжая активный рост и расширение числа клиентов (заключив новые контракты с 3-мя глобальными и крупнейшими e-commerce площадками), Qrator Labs уверенно смотрит в будущее. “Arista предложила нам хорошую цену, решила наши проблемы на стороне оборудования и программного обеспечения, а также оказалась очень стабильной компанией”, — добавляет г-н Лямин. — Для нас будущее — это полная архитектура 100 Гбит/с, поэтому наш план — принести следующее поколение Arista в нашу лабораторию и продолжить начатое. Мы знаем, что у нас на связи всегда есть потрясающие инженеры и команда поддержки Arista”.

Учитывая массовый приток клиентов и международную экспансию, Qrator нуждался в высокопроизводительной и сверхнадежной коммутации архитектуры как важнейшего компонента, лежащего в основе инновационных услуг по нейтрализации DDoS.

Предыдущая статья Следующая статья
Ваша подписка успешно активирована
На главную