Ez az oldal leírja a VIPY hálózat felépítését, a három hálózati módot (Védetlen, Védett, Extra védett), valamint azt, hogy támadás esetén hogyan zajlik a mitigáció.
| Mód | Forgalomkezelés | Támadás alatti viselkedés |
|---|---|---|
| Védetlen | Szűrés nélkül továbbított forgalom | A szolgáltatás a nyers támadási forgalmat is megkapja |
| Védett | Saját XDP/nftables alapú, szenzoros védelem | Támadás alatt aktiválódó szigorú L3/L4 és játékprofil-szabályok |
| Extra védett | Saját védelem + külső tranzit/scrubbing és alkalmazásszűrők | Nagy kapacitású, többlépcsős mitigáció, opcionálisan állandó védelemmel |
1) VEDETLEN MOD
VIPY / AS215261
`-- SzerverPlex / KFT / AS61998
`-- Rackhost / AS29278
|-- Cogent / AS174
|-- Arelion / AS1299
|-- GTT / AS3257
|-- Inter.Link / AS5405
|-- OMONIA / AS44306
`-- RETN / AS9002
2) VEDETT MOD
VIPY / AS215261
|-- Saját DDoS védelem
| |-- XDP szűrés
| |-- nftables szűrés
| |-- L3/L4 UDP/TCP/ICMP védelem
| |-- FiveM profil
| |-- Minecraft profil
| `-- A2S / Valve Source profil
|
`-- SzerverPlex / KFT / AS61998
`-- Rackhost / AS29278
|-- RETN / AS9002
|-- GTT / AS3257
|-- Arelion / AS1299
|-- Cogent / AS174
`-- Inter.Link / AS5405
3) EXTRA VEDETT MOD
VIPY / AS215261
|-- Saját DDoS védelem
|
`-- AS214243
| `-- AS203446
| |-- Cogent / AS174
| |-- GTT / AS3257
| |-- Zayo / AS6461
| |-- Liberty / AS6830
| `-- RETN / AS9002
|
`-- AS215362
|-- Cogent / AS174
|-- Orange RO / AS8953
`-- RETN / AS9002A Védetlen és a normál Védett szolgáltatásoknál kizárólag a SzerverPlex / Rackhost útvonalpárt használjuk. A két külső tranzit/védelmi irányt (AS214243, AS215362) csak az Extra védett IP-tartománynál vesszük igénybe:
45.146.6.0/24A csomag semmilyen szűrésen nem esik keresztül - nincs XDP, nftables, külső scrubbing vagy alkalmazásprofil alapú tisztítás. A szerver a lehető legközvetlenebb módon kapja a forgalmat.
Következmények:
A saját fejlesztésű XDP/nftables alapú védelmünket jelenti.
| Paraméter | Érték |
|---|---|
| Sávszélesség-alapú kapacitás | max. 80 Gbps |
| Csomagszám-alapú kapacitás | 80–100 Mpps |
Jelenleg dedikált profillal támogatott:
A védelem az alábbi támadástípusok ellen nyújt védelmet:
A rendszer szenzor módban működik, a működési logikája:
Támadás alatt az új csatlakozások engedélyezettek, viszont erősen szűrten - így elképzelhető, hogy intenzív vagy szokatlan forgalmat generáló alkalmazások (pl. speedtest, nagy UDP burst, egyedi protokoll) átmenetileg nem megfelelően működnek.
Ez szándékos kompromisszum.
A Védett módban leírtak plusz a két külső tranzit szolgáltató (AS214243, AS215362) igénybevétele.
| Paraméter | Érték |
|---|---|
| Védelmi kapacitás | akár 2 Tbps |
| Csomagszám-alapú kapacitás | akár 1 Gpps |
Az Extra védett módnál elérhető:
Két üzemmód közül választhatsz:
| Üzemmód | Jelentés | Mikor ajánlott? |
|---|---|---|
| Szenzor / dynamic mode | A külső, szigorúbb védelem csak támadás alatt aktív | Ahol normál állapotban a lehető legkevesebb beavatkozás kell |
| Állandó / always on védelem | A forgalom mindig a védelmi profilokon halad át | Kritikus game, voice, VPN vagy TCP-szolgáltatáshoz, ahol az útvonalváltás nem kívánatos |
Kritikus TCP-szolgáltatásnál (pl. Minecraft, FiveM) az **állandó védelem** előnyösebb lehet: ha a védelem csak támadáskor aktiválódik, az útvonalváltás és a TCP-hitelesítés a meglévő kapcsolatokat is megszakíthatja.
Az Extra védett módra külön [technikai limitációk](https://vipy.hu/hu/article/limitations) vonatkoznak (dupla TCP-kézfogás állandó módban, CDN-inkompatibilitás, DNS-resolver korlátozások támadás alatt).
| Védetlen | Védett | Extra védett | |
|---|---|---|---|
| Szűrés | Nincs | XDP/nftables (saját) | XDP/nftables + külső scrubbing |
| Kapacitás | - | 80 Gbps / 80–100 Mpps | 2 Tbps / 1 Gpps |
| Útvonal | SzerverPlex/Rackhost | SzerverPlex/Rackhost | + AS214243, AS215362 |
| Játékprofilok | - | FiveM, Minecraft, A2S/Source | Kiterjedt (10+ játék és alkalmazás) |
| Üzemmód | - | Szenzor | Dinamikus szenzor vagy állandó |
| Egyedi profil | - | ✅ | ✅ |
| IP-tartomány | egyéb | minden | 45.146.6.0/24 |
Támadás esetén a forgalom egy többlépcsős mitigáción halad át, amely TCP/UDP-hitelesítést, hardveresen gyorsított csomagszűrést és gépi tanulás alapú zero-day felismerést kombinál. Minden lépcső csak a tiszta forgalmat adja tovább a következőnek.
Az első védelmi vonal, alkalmazás-specifikus támadási mintákra optimalizálva. Célja, hogy a nyilvánvalóan hibás, hamisított vagy protokollidegen forgalom a lehető legkorábban kiessen.
Az előszűrőn átjutott forgalmat a generikus mitigációs réteg kezeli: AMD EPYC és Ryzen rendszerekből álló, Mellanox hálózati kártyákkal felszerelt cluster, amely a volumetrikus és protokollszintű támadások széles skáláját kezeli.
Protokolltámadás-védelem:
Challenge-alapú hitelesítés:
Az utolsó és legadaptívabb lépcső: gépi tanulással ismeri fel és blokkolja azokat az újszerű támadási mintákat, amelyeknek nincs ismert aláírása.
Ez főleg akkor hasznos, amikor nincs előre ismert signature, a támadás több vektorból áll, vagy a támadó a normál forgalomhoz hasonló mintát utánoz, és manuális szabályírásra nincs idő.
A támadások jellemzően a detektálást követő 2–10 másodpercen belül kerülnek mitigálásra.
| Támadástípus | Jellemző mitigációs idő |
|---|---|
| Szabványos támadások | 2–5 másodperc |
| Nagy volumenű támadások | legfeljebb 10 másodperc |
| Carpet bombing (subnet-szintű) | jellemzően 10 másodpercen belül |
A tényleges időt befolyásolja:
Támadás alatt az alábbi jelenségek előfordulhatnak - ezek nem hibák, hanem a védekezés mellékhatásai:
Részletek: Ismert technikai limitációk
A mitigáció elsősorban hálózati és transport rétegen (L3/L4) hatékony. Nem teljes körű megoldás:
Ezekhez alkalmazásoldali védelem szükséges: rate limit, CAPTCHA, queue, login protection vagy egyedi L7 szűrés.