Стартап дня: сервис для защиты от DDoS-атак Qrator Labs
Сервис пропускает трафик через свою сеть и допускает до сервера клиента только реальных пользователей.
Директор по стратегии и анализу Mail.Ru Group Александр Горный каждый день рассказывает о примечательных проектах.
Пару лет назад раз в месяц можно было увидеть заголовок наподобие: «Такой-то всем известный сайт недоступен в результате DDoS-атаки». Без сложных аббревиатур это означало, что кто-то нехороший включил сеть ботов для постоянных обращений к определённому сайту, а тот не выдержал нагрузки и «упал». Сейчас такие сообщения прекратились — не знаю, то ли журналистам тема надоела, Роскомнадзор интереснее, то ли все, наконец, купили услуги сегодняшнего стартапа.
Qrator Labs — российский технологический стартап, защищающий клиентов от внешних атак. Флагманский продукт — защита от DDoS. При покупке подписки трафик сайта начинает ходить через сеть Qrator, где алгоритмы отделяют зёрна от плевел. До сервера клиента доходят только живые люди, а не боты.
Тариф зависит от траффика проекта и объёмов потенциального DDoS, за сами атаки клиент не платит. Если ботов пришло больше, чем предусматривал выбранный план, то стартап всё равно обещает защитить сайт, но попросит повысить абонентскую плату со следующего месяца.
Стоимость подписки измеряется десятками тысяч рублей в месяц. Если считать, что средний DDoS длится сутки-двое и случается с сайтом раз в три года, то граница прямой рентабельности Qrator проходит где-то на уровне выручки миллиона рублей в день. Если сервис столько не зарабатывает, то может не платить за защиту, а в момент X просто уйти в отпуск на пару неприятных дней.
Впрочем, и для проектов, не вышедших масштабом, есть частичное решение: Qrator Labs зарабатывает ещё и консалтингом. Защиту от полноценного DDoS за 10-50 часов не создать, но исправив явные ошибки в архитектуре сервиса, отбить атаки «пионеров» можно и своими силами.
Qrator не получал публичных инвестиций, но бизнес в российских масштабах успешный, список клиентов включает знаковые компании от Avito и Qiwi до «Райффайзенбанка» и РИА Новости. Американский аналог — Cloudflare — давно единорог, хорошо работает на большом рынке.
Как-то странно называть Qrator стартапом, не?
Спасибо!
Поддерживаю. Для напоминания оставлю несколько определении:
«Стартап — это компания или временная организация, созданная для поиска повторяемой и масштабируемой бизнес-модели» Стив Бланк (Steve Blank)
«Стартап — это организация, целью которой является создание продуктов и услуг в условиях экстремальной неопределенности» Эрик Рис (Eric Ries)
Ну, и мне особо нравится определение близкое к венчурным инвестициям:
«Стартап — это временная организация, созданная для поиска масштабируемой, повторяемой и прибыльной бизнес-модели в условиях экстремальной неопределенности, с целью быстрого роста» Илья Королев
"по-королеву" тогда любой бизнес в экономической зоне РФ - это стартап.
Комментарий удален модератором
Помню, как года 4 назад. когда мой проект был под атакой день второй или третий, я нашел Qrator. Мало на что надеясь, позвонил по городскому номеру часов в 10 вечера. Звонок ушел на мобильник кого-то из сотрудников, который из дома консультировал меня на протяжении часа, наверное. При этом на фоне был слышен маленький ребенок и недовольная супруга:)
Ясен пень, что теперь я всем рекомендую только их!)
Комментарий удален модератором
Этому стартапу 5 лет. Учитывая что это около фсбшный проект трафф аккуратнее нужно отдавать
Дмитрий, вы свечку держали?
Не 5, а 8 ( 1.9.2010 запуск в эксплуатацию).
Мы предельно политически нейтральны, и именно поэтому все поле гос.контрактов где требуются всякие "специальные сертификации" мы осознанно отдаем конкурентам которые любят попариться с правильными людьми. Мы - не паримся и играем в рыночный продукт. Рынок не настолько жирный и сладкий как госконтракты, но продукт получается лучше и спортивней.
p.s. кстати, политическая нейтральность стоила лично мне работы в Университете, из-за этой истории https://www.wsj.com/articles/SB10001424052970204707104578090793159318064
p.p.s. будьте аккуратней с подобного рода заявлениями, без должной аргументации.
Комментарий удален модератором
Просто будьте аккуратнее? Что за мода такая - везде мерещится товарищ сержант? Тогда вам к психотерапевту.
придут ребята из бани
Комментарий удален модератором
Они и не возьмут.
А есть какие-то преимущества относительно Cloudflare, или только импортозамещение и хардкор?
Например потому что мы не показываем каптча и не крутим колесики в браузере. Или например не надо включать режим "я под атакой" вручную (мы сами определим атаку и сами ее погасим).
In Soviet Russia robots solve CAPTCHA better then humans. (And we have numbers to prove that)
О, интересный ответ, спасибо.
Клаудфлер, как все мы знаем, тоже каптчу показывает не всем и совсем не просто так. Если айпишник чистый - пользователь никогда и не узнает, что сайт под клаудфлером.
Если айпишник черный - вероятнее всего в случае с клаудфлером ты улетишь в рестриктед и увидишь заглушечку. А вот если серый - увидишь капчу.
А как вы поступаете с "серыми" и "черными" айпишниками?
Крутилки и каптчи это, конечно, плохо, но в случае с клаудфлэром они решают вполне объяснимую задачу.
Комментарий удален модератором
а реальный ip в заголовках передаете без космической доплаты?
да. из коробки.
Импортозамещение тут не особо играет, они были еще задолго до того как это стало модно )
Qrator - крутые ребята! Года три с ними работаю, интернет-магазин. Оперативно отвечают на тикеты. Также помогают защитить мой сайт от парсеров. Недавно отразили атаку в 150 К ботов.
Позвольте узнать, как они отличают парсеры от обычных людей?
Комментарий недоступен
Комментарий удален модератором
Интересно почему желтый банк защищён «стартапом», а имеет свое решение в отделе безопасности. Когда «стартап» ниасилит, желтый банк из-за этого приляжет, вместе со всеми клиентами?
Было такое у них. :)
Потому что сервисом и устройством на площадке закрывают разные вектора атак и прикладные задачи.
Ну, если «стартап» ниасилит, то и без него банку плохо будет =) А так, я думаю, у банка есть резервные сценарии работы.
Комментарий удален модератором
Дорого выходит, у AWS трафик не самый дешевый + увеличиться время ответа, т.к. ближайший ДЦ их в Германии.
Комментарий удален модератором
И от каких атак и какие сервисы такая железка защитит? А какая у нее будет производительность? А хватит ли каналов у хостинг провайдера? А готов ли будет хостинг переплачивать за трафик атаки своим аплинкам из-за проблемного клиента?
DDoS-атаки это общее название большого количества видов атак, которые нацелены на исчерпания ресурсов, в том числе и финансовых.
Поэтому для какого-то сервиса подойдет защита за 300$ и возможные риски простоя не столь критичны. А для другого сервиса многомиллионные вливания в защиту будут недостаточны.
Комментарий удален модератором
Комментарий удален модератором
С экономическим обоснования атаки согласен, вот только прикол в том, что организовать атаку в десятки гигабит просто и почти бесплатно. Различные UDP-Based Amplification Attacks в помощь юному атакующему.
Такие атаки фильтровать легко, но к ним нужно быть готовым.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Еще нюанс, если прятаться за AWS не постоянно, то можно засветить IP реальных серверов, тогда при подготовленной атаке можно споконо обойти фильтры, на которые будут только по DNS будут попадать. В тоже время qrator может спрятать полностью сетку. В любом случае хорошо когда есть из чего выбирать )
Комментарий удален модератором
Если известен реальный IP-адрес ресурса, то можно организовать атаку мимо сервиса защиты.
Даже если на вышестоящем роутере ACL'ем закрыть все адреса, кроме источников туннеля, то все равно можно забить входящие каналы, вплоть до отключения ДЦ или оператора связи.
DDoS устойчивость одной площадки явно меньше, чем у территориально распределенного сервиса по защите от DDoS-атак. Но при использовании сервиса остается риск атаки на "последнюю милю", поэтому нужно выстраивать эшелонированную оборону. Каждый из эшелонов будет лучше подходить для определенных типов DDoS-атак, а количество эшелонов и состав нужно строить исходя из защищаемых ресурсов и сервисов, задач, денег.
Комментарий удален модератором
Не все "проекты" можно вынести в публичное облако. По причинам техническим, экономическим, регулятивным.
Алексей писал про случай, когда AWS используется для защиты сервера стоящего в каком-то внешнем ДЦ и наличия риска атаки мимо AWS. Поэтому комментарий про облака и Яндекс нерелевантны.
Но для полноты картины и развенчание мифа об 100% защите в облаках почитайте историю о том, как и почему Akamai отказался защищать Браина Кребса (Brain Krebs).
Я мыслю в парадигме сетей и защиты от DDoS-атак, которыми занимаюсь больше 10 лет. И основная задача стоит не в том, что просто быстро дропнуть пакеты, а в том чтобы дропнуть нужные пакеты атаки. И в рамках FPGA эту задачу полностью не решить.
На рынке много решений, которые на аппаратном уровне (как на FPGA, так на ASIC'ах стандартных network processor, так и специализированных network security processors, кnowledge-based processor, content processors) делают часть защиты, но современные решения защиты переходят в софтверные реализации, т.к. это более эффективно сразу по многим критериям.
Ну, и для информации. Для работы на wirespeed 10 GbE нужно успевать за 67,2 ns обработать "пакет", мы на обычном CPU обрабатываем на wirespeed 40 GbE.
Резюмируя. В современных реалиях вера в защиту в "облаках" и в аппаратных реализациях необоснованна. Нужен комплексный подход с учетом требований и особенностей объекта защиты.
Комментарий удален модератором
Спасибо за пожелание.
Только я не из Qrator Labs. :-)
Я PdM в MITIGATOR (http://mitigator.ru)
Софт уже продаем, в том числе и со срочной лицензией от месяца (можно считать как аренду).
Удаленную поддержку в настройке и отражении атаки окажем.
А сервер, в большинстве случаев, клиент может найти по своим каналам дешевле.
Была гипотеза развития в направление подобной связки, но cusdev показал ряд проблем и пока отложили.
Зато есть смежное развитие продукта за счет интеграции с внешними системами мониторинга, детектирования, защиты и "облачными" сервисами.
Если есть незакрытая "боль" или потребность в каком-то сценарии защиты от DDoS, то можно обсудить.
Комментарий удален модератором
в целом да, если постоянно не прятаться за AWS, но надо считать в конечном итоге, что выгоднее.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Cisco аппаратные железки antiDDoS очень давно не делает. Есть версии софта от Arbor и Radware, которые можно запустить на платформах от Cisco.
Программно можно больше 10 Gbps отражать. Например, наш софт на одном сервере защищает от 40 Gbps и 59 Mpps различных L3-L4 атак.
Комментарий удален модератором
Обычное серверное железо. Процессоры Intel x86 последних поколений и сетевые контроллеры 82599 и X710.
Если в таких формулировках, то защита на уровне CPU и мимо ядра.
Наш софт для быстрой обработки пакетов использует Intel DPDK.
Комментарий удален модератором
Комментарий удален модератором