Оффтоп Alexander Gornyi
1 816

Стартап дня: сервис для защиты от DDoS-атак Qrator Labs

Сервис пропускает трафик через свою сеть и допускает до сервера клиента только реальных пользователей.

В закладки

Директор по стратегии и анализу Mail.Ru Group Александр Горный каждый день рассказывает о примечательных проектах.

Пару лет назад раз в месяц можно было увидеть заголовок наподобие: «Такой-то всем известный сайт недоступен в результате DDoS-атаки». Без сложных аббревиатур это означало, что кто-то нехороший включил сеть ботов для постоянных обращений к определённому сайту, а тот не выдержал нагрузки и «упал». Сейчас такие сообщения прекратились — не знаю, то ли журналистам тема надоела, Роскомнадзор интереснее, то ли все, наконец, купили услуги сегодняшнего стартапа.

Qrator Labs — российский технологический стартап, защищающий клиентов от внешних атак. Флагманский продукт — защита от DDoS. При покупке подписки трафик сайта начинает ходить через сеть Qrator, где алгоритмы отделяют зёрна от плевел. До сервера клиента доходят только живые люди, а не боты.

Тариф зависит от траффика проекта и объёмов потенциального DDoS, за сами атаки клиент не платит. Если ботов пришло больше, чем предусматривал выбранный план, то стартап всё равно обещает защитить сайт, но попросит повысить абонентскую плату со следующего месяца.

Стоимость подписки измеряется десятками тысяч рублей в месяц. Если считать, что средний DDoS длится сутки-двое и случается с сайтом раз в три года, то граница прямой рентабельности Qrator проходит где-то на уровне выручки миллиона рублей в день. Если сервис столько не зарабатывает, то может не платить за защиту, а в момент X просто уйти в отпуск на пару неприятных дней.

Впрочем, и для проектов, не вышедших масштабом, есть частичное решение: Qrator Labs зарабатывает ещё и консалтингом. Защиту от полноценного DDoS за 10-50 часов не создать, но исправив явные ошибки в архитектуре сервиса, отбить атаки «пионеров» можно и своими силами.

Qrator не получал публичных инвестиций, но бизнес в российских масштабах успешный, список клиентов включает знаковые компании от Avito и Qiwi до «Райффайзенбанка» и РИА Новости. Американский аналог — Cloudflare — давно единорог, хорошо работает на большом рынке.

#стартапдня

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Alexander Gornyi", "author_type": "self", "tags": ["\u0441\u0442\u0430\u0440\u0442\u0430\u043f\u0434\u043d\u044f"], "comments": 32, "likes": 7, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 40326, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 40326, "author_id": 121721, "diff_limit": 1000, "urls": {"diff":"\/comments\/40326\/get","add":"\/comments\/40326\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/40326"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

32 комментария 32 комм.

Популярные

По порядку

Написать комментарий...
12

Как-то странно называть Qrator стартапом, не?

Ответить
1

Спасибо!

Ответить
0

Поддерживаю. Для напоминания оставлю несколько определении:

«Стартап — это компания или временная организация, созданная для поиска повторяемой и масштабируемой бизнес-модели» Стив Бланк (Steve Blank)

«Стартап — это организация, целью которой является создание продуктов и услуг в условиях экстремальной неопределенности» Эрик Рис (Eric Ries)

Ну, и мне особо нравится определение близкое к венчурным инвестициям:

«Стартап — это временная организация, созданная для поиска масштабируемой, повторяемой и прибыльной бизнес-модели в условиях экстремальной неопределенности, с целью быстрого роста» Илья Королев

Ответить
0

"по-королеву" тогда любой бизнес в экономической зоне РФ - это стартап.

Ответить

Комментарий удален

3

Помню, как года 4 назад. когда мой проект был под атакой день второй или третий, я нашел Qrator. Мало на что надеясь, позвонил по городскому номеру часов в 10 вечера. Звонок ушел на мобильник кого-то из сотрудников, который из дома консультировал меня на протяжении часа, наверное. При этом на фоне был слышен маленький ребенок и недовольная супруга:)

Ясен пень, что теперь я всем рекомендую только их!)

Ответить

Комментарий удален

2

Этому стартапу 5 лет. Учитывая что это около фсбшный проект трафф аккуратнее нужно отдавать

Ответить
3

Дмитрий, вы свечку держали?

Не 5, а 8 ( 1.9.2010 запуск в эксплуатацию).

Мы предельно политически нейтральны, и именно поэтому все поле гос.контрактов где требуются всякие "специальные сертификации" мы осознанно отдаем конкурентам которые любят попариться с правильными людьми. Мы - не паримся и играем в рыночный продукт. Рынок не настолько жирный и сладкий как госконтракты, но продукт получается лучше и спортивней.

p.s. кстати, политическая нейтральность стоила лично мне работы в Университете, из-за этой истории https://www.wsj.com/articles/SB10001424052970204707104578090793159318064

p.p.s. будьте аккуратней с подобного рода заявлениями, без должной аргументации.

Ответить

Комментарий удален

0

Просто будьте аккуратнее? Что за мода такая - везде мерещится товарищ сержант? Тогда вам к психотерапевту.

Ответить
0

придут ребята из бани

Ответить

Комментарий удален

0

Они и не возьмут.

Ответить
2

А есть какие-то преимущества относительно Cloudflare, или только импортозамещение и хардкор?

Ответить
1

Например потому что мы не показываем каптча и не крутим колесики в браузере. Или например не надо включать режим "я под атакой" вручную (мы сами определим атаку и сами ее погасим).

In Soviet Russia robots solve CAPTCHA better then humans. (And we have numbers to prove that)

Ответить
1

О, интересный ответ, спасибо.
Клаудфлер, как все мы знаем, тоже каптчу показывает не всем и совсем не просто так. Если айпишник чистый - пользователь никогда и не узнает, что сайт под клаудфлером.
Если айпишник черный - вероятнее всего в случае с клаудфлером ты улетишь в рестриктед и увидишь заглушечку. А вот если серый - увидишь капчу.
А как вы поступаете с "серыми" и "черными" айпишниками?

Крутилки и каптчи это, конечно, плохо, но в случае с клаудфлэром они решают вполне объяснимую задачу.

Ответить

Комментарий удален

0

а реальный ip в заголовках передаете без космической доплаты?

Ответить
0

да. из коробки.

Ответить
1

Импортозамещение тут не особо играет, они были еще задолго до того как это стало модно )

Ответить
1

Qrator - крутые ребята! Года три с ними работаю, интернет-магазин. Оперативно отвечают на тикеты. Также помогают защитить мой сайт от парсеров. Недавно отразили атаку в 150 К ботов.

Ответить
2

Позвольте узнать, как они отличают парсеры от обычных людей?

Ответить

Комментарий удален

1

Интересно почему желтый банк защищён «стартапом», а имеет свое решение в отделе безопасности. Когда «стартап» ниасилит, желтый банк из-за этого приляжет, вместе со всеми клиентами?

Ответить
0

Было такое у них. :)

Ответить
0

Потому что сервисом и устройством на площадке закрывают разные вектора атак и прикладные задачи.

Ну, если «стартап» ниасилит, то и без него банку плохо будет =) А так, я думаю, у банка есть резервные сценарии работы.

Ответить

Комментарий удален

0

Дорого выходит, у AWS трафик не самый дешевый + увеличиться время ответа, т.к. ближайший ДЦ их в Германии.

Ответить

Комментарий удален

2

И от каких атак и какие сервисы такая железка защитит? А какая у нее будет производительность? А хватит ли каналов у хостинг провайдера? А готов ли будет хостинг переплачивать за трафик атаки своим аплинкам из-за проблемного клиента?

DDoS-атаки это общее название большого количества видов атак, которые нацелены на исчерпания ресурсов, в том числе и финансовых.

Поэтому для какого-то сервиса подойдет защита за 300$ и возможные риски простоя не столь критичны. А для другого сервиса многомиллионные вливания в защиту будут недостаточны.

Ответить

Комментарий удален

Комментарий удален

0

С экономическим обоснования атаки согласен, вот только прикол в том, что организовать атаку в десятки гигабит просто и почти бесплатно. Различные UDP-Based Amplification Attacks в помощь юному атакующему.

Такие атаки фильтровать легко, но к ним нужно быть готовым.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

0

Еще нюанс, если прятаться за AWS не постоянно, то можно засветить IP реальных серверов, тогда при подготовленной атаке можно споконо обойти фильтры, на которые будут только по DNS будут попадать. В тоже время qrator может спрятать полностью сетку. В любом случае хорошо когда есть из чего выбирать )

Ответить

Комментарий удален

0

Если известен реальный IP-адрес ресурса, то можно организовать атаку мимо сервиса защиты.

Даже если на вышестоящем роутере ACL'ем закрыть все адреса, кроме источников туннеля, то все равно можно забить входящие каналы, вплоть до отключения ДЦ или оператора связи.

DDoS устойчивость одной площадки явно меньше, чем у территориально распределенного сервиса по защите от DDoS-атак. Но при использовании сервиса остается риск атаки на "последнюю милю", поэтому нужно выстраивать эшелонированную оборону. Каждый из эшелонов будет лучше подходить для определенных типов DDoS-атак, а количество эшелонов и состав нужно строить исходя из защищаемых ресурсов и сервисов, задач, денег.

Ответить

Комментарий удален

1

Не все "проекты" можно вынести в публичное облако. По причинам техническим, экономическим, регулятивным.

Алексей писал про случай, когда AWS используется для защиты сервера стоящего в каком-то внешнем ДЦ и наличия риска атаки мимо AWS. Поэтому комментарий про облака и Яндекс нерелевантны.

Но для полноты картины и развенчание мифа об 100% защите в облаках почитайте историю о том, как и почему Akamai отказался защищать Браина Кребса (Brain Krebs).

Я мыслю в парадигме сетей и защиты от DDoS-атак, которыми занимаюсь больше 10 лет. И основная задача стоит не в том, что просто быстро дропнуть пакеты, а в том чтобы дропнуть нужные пакеты атаки. И в рамках FPGA эту задачу полностью не решить.

На рынке много решений, которые на аппаратном уровне (как на FPGA, так на ASIC'ах стандартных network processor, так и специализированных network security processors, кnowledge-based processor, content processors) делают часть защиты, но современные решения защиты переходят в софтверные реализации, т.к. это более эффективно сразу по многим критериям.

Ну, и для информации. Для работы на wirespeed 10 GbE нужно успевать за 67,2 ns обработать "пакет", мы на обычном CPU обрабатываем на wirespeed 40 GbE.

Резюмируя. В современных реалиях вера в защиту в "облаках" и в аппаратных реализациях необоснованна. Нужен комплексный подход с учетом требований и особенностей объекта защиты.

Ответить

Комментарий удален

1

Спасибо за пожелание.

Только я не из Qrator Labs. :-)

Я PdM в MITIGATOR (http://mitigator.ru)

Софт уже продаем, в том числе и со срочной лицензией от месяца (можно считать как аренду).
Удаленную поддержку в настройке и отражении атаки окажем.
А сервер, в большинстве случаев, клиент может найти по своим каналам дешевле.

Была гипотеза развития в направление подобной связки, но cusdev показал ряд проблем и пока отложили.
Зато есть смежное развитие продукта за счет интеграции с внешними системами мониторинга, детектирования, защиты и "облачными" сервисами.

Если есть незакрытая "боль" или потребность в каком-то сценарии защиты от DDoS, то можно обсудить.

Ответить

Комментарий удален

0

в целом да, если постоянно не прятаться за AWS, но надо считать в конечном итоге, что выгоднее.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

0

Cisco аппаратные железки antiDDoS очень давно не делает. Есть версии софта от Arbor и Radware, которые можно запустить на платформах от Cisco.

Программно можно больше 10 Gbps отражать. Например, наш софт на одном сервере защищает от 40 Gbps и 59 Mpps различных L3-L4 атак.

Ответить

Комментарий удален

1

Обычное серверное железо. Процессоры Intel x86 последних поколений и сетевые контроллеры 82599 и X710.

Если в таких формулировках, то защита на уровне CPU и мимо ядра.
Наш софт для быстрой обработки пакетов использует Intel DPDK.

Ответить

Комментарий удален

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления