Стартап дня: сервис для защиты от DDoS-атак Qrator Labs

Сервис пропускает трафик через свою сеть и допускает до сервера клиента только реальных пользователей.

Директор по стратегии и анализу Mail.Ru Group Александр Горный каждый день рассказывает о примечательных проектах.

Пару лет назад раз в месяц можно было увидеть заголовок наподобие: «Такой-то всем известный сайт недоступен в результате DDoS-атаки». Без сложных аббревиатур это означало, что кто-то нехороший включил сеть ботов для постоянных обращений к определённому сайту, а тот не выдержал нагрузки и «упал». Сейчас такие сообщения прекратились — не знаю, то ли журналистам тема надоела, Роскомнадзор интереснее, то ли все, наконец, купили услуги сегодняшнего стартапа.

Qrator Labs — российский технологический стартап, защищающий клиентов от внешних атак. Флагманский продукт — защита от DDoS. При покупке подписки трафик сайта начинает ходить через сеть Qrator, где алгоритмы отделяют зёрна от плевел. До сервера клиента доходят только живые люди, а не боты.

Тариф зависит от траффика проекта и объёмов потенциального DDoS, за сами атаки клиент не платит. Если ботов пришло больше, чем предусматривал выбранный план, то стартап всё равно обещает защитить сайт, но попросит повысить абонентскую плату со следующего месяца.

Стоимость подписки измеряется десятками тысяч рублей в месяц. Если считать, что средний DDoS длится сутки-двое и случается с сайтом раз в три года, то граница прямой рентабельности Qrator проходит где-то на уровне выручки миллиона рублей в день. Если сервис столько не зарабатывает, то может не платить за защиту, а в момент X просто уйти в отпуск на пару неприятных дней.

Впрочем, и для проектов, не вышедших масштабом, есть частичное решение: Qrator Labs зарабатывает ещё и консалтингом. Защиту от полноценного DDoS за 10-50 часов не создать, но исправив явные ошибки в архитектуре сервиса, отбить атаки «пионеров» можно и своими силами.

Qrator не получал публичных инвестиций, но бизнес в российских масштабах успешный, список клиентов включает знаковые компании от Avito и Qiwi до «Райффайзенбанка» и РИА Новости. Американский аналог — Cloudflare — давно единорог, хорошо работает на большом рынке.

0
32 комментария
Написать комментарий...
Sam Beckett

Как-то странно называть Qrator стартапом, не?

Ответить
Развернуть ветку
Alexander Lyamin

Спасибо!

Ответить
Развернуть ветку
Глеб Хохлов

Поддерживаю. Для напоминания оставлю несколько определении:

«Стартап — это компания или временная организация, созданная для поиска повторяемой и масштабируемой бизнес-модели» Стив Бланк (Steve Blank)

«Стартап — это организация, целью которой является создание продуктов и услуг в условиях экстремальной неопределенности» Эрик Рис (Eric Ries)

Ну, и мне особо нравится определение близкое к венчурным инвестициям:

«Стартап — это временная организация, созданная для поиска масштабируемой, повторяемой и прибыльной бизнес-модели в условиях экстремальной неопределенности, с целью быстрого роста» Илья Королев

Ответить
Развернуть ветку
Alexander Lyamin

"по-королеву" тогда любой бизнес в экономической зоне РФ - это стартап.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Sergey Fadeev

Помню, как года 4 назад. когда мой проект был под атакой день второй или третий, я нашел Qrator. Мало на что надеясь, позвонил по городскому номеру часов в 10 вечера. Звонок ушел на мобильник кого-то из сотрудников, который из дома консультировал меня на протяжении часа, наверное. При этом на фоне был слышен маленький ребенок и недовольная супруга:)

Ясен пень, что теперь я всем рекомендую только их!)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Dima trachuk

Этому стартапу 5 лет. Учитывая что это около фсбшный проект трафф аккуратнее нужно отдавать

Ответить
Развернуть ветку
Alexander Lyamin

Дмитрий, вы свечку держали?

Не 5, а 8 ( 1.9.2010 запуск в эксплуатацию).

Мы предельно политически нейтральны, и именно поэтому все поле гос.контрактов где требуются всякие "специальные сертификации" мы осознанно отдаем конкурентам которые любят попариться с правильными людьми. Мы - не паримся и играем в рыночный продукт. Рынок не настолько жирный и сладкий как госконтракты, но продукт получается лучше и спортивней.

p.s. кстати, политическая нейтральность стоила лично мне работы в Университете, из-за этой истории https://www.wsj.com/articles/SB10001424052970204707104578090793159318064

p.p.s. будьте аккуратней с подобного рода заявлениями, без должной аргументации.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Dmitrijs Jemeljanovs

Просто будьте аккуратнее? Что за мода такая - везде мерещится товарищ сержант? Тогда вам к психотерапевту.

Ответить
Развернуть ветку
SocialWarrior

придут ребята из бани

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Они и не возьмут.

Ответить
Развернуть ветку
Shoo

А есть какие-то преимущества относительно Cloudflare, или только импортозамещение и хардкор?

Ответить
Развернуть ветку
Alexander Lyamin

Например потому что мы не показываем каптча и не крутим колесики в браузере. Или например не надо включать режим "я под атакой" вручную (мы сами определим атаку и сами ее погасим).

In Soviet Russia robots solve CAPTCHA better then humans. (And we have numbers to prove that)

Ответить
Развернуть ветку
Shoo

О, интересный ответ, спасибо.
Клаудфлер, как все мы знаем, тоже каптчу показывает не всем и совсем не просто так. Если айпишник чистый - пользователь никогда и не узнает, что сайт под клаудфлером.
Если айпишник черный - вероятнее всего в случае с клаудфлером ты улетишь в рестриктед и увидишь заглушечку. А вот если серый - увидишь капчу.
А как вы поступаете с "серыми" и "черными" айпишниками?

Крутилки и каптчи это, конечно, плохо, но в случае с клаудфлэром они решают вполне объяснимую задачу.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
МногоЧернил.ру

а реальный ip в заголовках передаете без космической доплаты?

Ответить
Развернуть ветку
Alexander Lyamin

да. из коробки.

Ответить
Развернуть ветку
Алексей Щербаков

Импортозамещение тут не особо играет, они были еще задолго до того как это стало модно )

Ответить
Развернуть ветку
Андрей Постоев

Qrator - крутые ребята! Года три с ними работаю, интернет-магазин. Оперативно отвечают на тикеты. Также помогают защитить мой сайт от парсеров. Недавно отразили атаку в 150 К ботов.

Ответить
Развернуть ветку
Илья Петров

Позвольте узнать, как они отличают парсеры от обычных людей?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
iLeonidze

Интересно почему желтый банк защищён «стартапом», а имеет свое решение в отделе безопасности. Когда «стартап» ниасилит, желтый банк из-за этого приляжет, вместе со всеми клиентами?

Ответить
Развернуть ветку
Sergei Timofeyev

Было такое у них. :)

Ответить
Развернуть ветку
Глеб Хохлов

Потому что сервисом и устройством на площадке закрывают разные вектора атак и прикладные задачи.

Ну, если «стартап» ниасилит, то и без него банку плохо будет =) А так, я думаю, у банка есть резервные сценарии работы.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Алексей Щербаков

Дорого выходит, у AWS трафик не самый дешевый + увеличиться время ответа, т.к. ближайший ДЦ их в Германии.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

И от каких атак и какие сервисы такая железка защитит? А какая у нее будет производительность? А хватит ли каналов у хостинг провайдера? А готов ли будет хостинг переплачивать за трафик атаки своим аплинкам из-за проблемного клиента?

DDoS-атаки это общее название большого количества видов атак, которые нацелены на исчерпания ресурсов, в том числе и финансовых.

Поэтому для какого-то сервиса подойдет защита за 300$ и возможные риски простоя не столь критичны. А для другого сервиса многомиллионные вливания в защиту будут недостаточны.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

С экономическим обоснования атаки согласен, вот только прикол в том, что организовать атаку в десятки гигабит просто и почти бесплатно. Различные UDP-Based Amplification Attacks в помощь юному атакующему.

Такие атаки фильтровать легко, но к ним нужно быть готовым.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Алексей Щербаков

Еще нюанс, если прятаться за AWS не постоянно, то можно засветить IP реальных серверов, тогда при подготовленной атаке можно споконо обойти фильтры, на которые будут только по DNS будут попадать. В тоже время qrator может спрятать полностью сетку. В любом случае хорошо когда есть из чего выбирать )

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Если известен реальный IP-адрес ресурса, то можно организовать атаку мимо сервиса защиты.

Даже если на вышестоящем роутере ACL'ем закрыть все адреса, кроме источников туннеля, то все равно можно забить входящие каналы, вплоть до отключения ДЦ или оператора связи.

DDoS устойчивость одной площадки явно меньше, чем у территориально распределенного сервиса по защите от DDoS-атак. Но при использовании сервиса остается риск атаки на "последнюю милю", поэтому нужно выстраивать эшелонированную оборону. Каждый из эшелонов будет лучше подходить для определенных типов DDoS-атак, а количество эшелонов и состав нужно строить исходя из защищаемых ресурсов и сервисов, задач, денег.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Не все "проекты" можно вынести в публичное облако. По причинам техническим, экономическим, регулятивным.

Алексей писал про случай, когда AWS используется для защиты сервера стоящего в каком-то внешнем ДЦ и наличия риска атаки мимо AWS. Поэтому комментарий про облака и Яндекс нерелевантны.

Но для полноты картины и развенчание мифа об 100% защите в облаках почитайте историю о том, как и почему Akamai отказался защищать Браина Кребса (Brain Krebs).

Я мыслю в парадигме сетей и защиты от DDoS-атак, которыми занимаюсь больше 10 лет. И основная задача стоит не в том, что просто быстро дропнуть пакеты, а в том чтобы дропнуть нужные пакеты атаки. И в рамках FPGA эту задачу полностью не решить.

На рынке много решений, которые на аппаратном уровне (как на FPGA, так на ASIC'ах стандартных network processor, так и специализированных network security processors, кnowledge-based processor, content processors) делают часть защиты, но современные решения защиты переходят в софтверные реализации, т.к. это более эффективно сразу по многим критериям.

Ну, и для информации. Для работы на wirespeed 10 GbE нужно успевать за 67,2 ns обработать "пакет", мы на обычном CPU обрабатываем на wirespeed 40 GbE.

Резюмируя. В современных реалиях вера в защиту в "облаках" и в аппаратных реализациях необоснованна. Нужен комплексный подход с учетом требований и особенностей объекта защиты.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Спасибо за пожелание.

Только я не из Qrator Labs. :-)

Я PdM в MITIGATOR (http://mitigator.ru)

Софт уже продаем, в том числе и со срочной лицензией от месяца (можно считать как аренду).
Удаленную поддержку в настройке и отражении атаки окажем.
А сервер, в большинстве случаев, клиент может найти по своим каналам дешевле.

Была гипотеза развития в направление подобной связки, но cusdev показал ряд проблем и пока отложили.
Зато есть смежное развитие продукта за счет интеграции с внешними системами мониторинга, детектирования, защиты и "облачными" сервисами.

Если есть незакрытая "боль" или потребность в каком-то сценарии защиты от DDoS, то можно обсудить.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Алексей Щербаков

в целом да, если постоянно не прятаться за AWS, но надо считать в конечном итоге, что выгоднее.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Cisco аппаратные железки antiDDoS очень давно не делает. Есть версии софта от Arbor и Radware, которые можно запустить на платформах от Cisco.

Программно можно больше 10 Gbps отражать. Например, наш софт на одном сервере защищает от 40 Gbps и 59 Mpps различных L3-L4 атак.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Глеб Хохлов

Обычное серверное железо. Процессоры Intel x86 последних поколений и сетевые контроллеры 82599 и X710.

Если в таких формулировках, то защита на уровне CPU и мимо ядра.
Наш софт для быстрой обработки пакетов использует Intel DPDK.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
29 комментариев
Раскрывать всегда