Доброго времени суток!
Интересуют способы борьбы с DOS-атаками, как на уровне клиента так и на уровне провайдера?
Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов, с разных стран) на конкретный адрес и порт. Т.е. явно организованная атака.
Даже если закрыть доступ на этот адрес, то все равно канал забит на 100%.
Как с этим бороться, может у кого-нибудь есть подобный опыт?
>Доброго времени суток!
>Интересуют способы борьбы с DOS-атаками, как на уровне клиента так и на
>уровне провайдера?
>Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов,
>с разных стран) на конкретный адрес и порт. Т.е. явно организованная
>атака.
>Даже если закрыть доступ на этот адрес, то все равно канал забит
>на 100%.
>Как с этим бороться, может у кого-нибудь есть подобный опыт?Отключить этот адрес на который происходит атака, сменить адрес и включить обратно, если атака продолжится проблема во владельце адреса.
>[оверквотинг удален]
>>уровне провайдера?
>>Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов,
>>с разных стран) на конкретный адрес и порт. Т.е. явно организованная
>>атака.
>>Даже если закрыть доступ на этот адрес, то все равно канал забит
>>на 100%.
>>Как с этим бороться, может у кого-нибудь есть подобный опыт?
>
>Отключить этот адрес на который происходит атака, сменить адрес и включить обратно,
>если атака продолжится проблема во владельце адреса.Отключать и менять адрес не хотелось бы, т.к. на этот адрес обращаются сотни клиентов...
>Отключать и менять адрес не хотелось бы, т.к. на этот адрес обращаются
>сотни клиентов...ips вполне справится
Пообщайтесь с провайдером на тему access-list, поскольку все решения не эффективны в силу того что канал у вас будет все равно забит.
>Пообщайтесь с провайдером на тему access-list, поскольку все решения не эффективны в
>силу того что канал у вас будет все равно забит.Ответы просто сказка и ни одного по делу. Что такое DOS атака генерация множества полуоткрытых сессий - следовательно есть 2 варианта можно резать по числу полуоткрытых сессий (но сей метод не есть еффективный поскольку "правильный" клиент не сможет приконектиться если порог уже достигнут), гараздо эффективнее установить время жизни такого полуоткрытого соединения (подбирай имперически, тогда такие сессии не будут долго висеть и портить Вам жизнь) делается это если память не подводит с помощью механизма CBAC у Cisco или же, если сервис крутиться на никсах, в sysctl.
Начнем с того что никто не говорил про TCP. Это может быть так же ICMP и/или UDP флуд. На месте клиента при хорошой DOS атаке защиты увы нет, канал занят. Это не сказка :-))...
>Начнем с того что никто не говорил про TCP. Это может быть
>так же ICMP и/или UDP флуд. На месте клиента при хорошой
>DOS атаке защиты увы нет, канал занят. Это не сказка :-))...
>К сожалению, наверно так и есть...)))
>Ответы просто сказка и ни одного по делу. Что такое DOS атака
>генерация множества полуоткрытых сессий - следовательно есть 2 варианта можно резать
>по числу полуоткрытых сессий (но сей метод не есть еффективный поскольку
>"правильный" клиент не сможет приконектиться если порог уже достигнут), гараздо эффективнее
>установить время жизни такого полуоткрытого соединения (подбирай имперически, тогда такие сессии
>не будут долго висеть и портить Вам жизнь) делается это если
>память не подводит с помощью механизма CBAC у Cisco или же,
>если сервис крутиться на никсах, в sysctl.Все замечательно, но после истечения времени жизни полуоткрытых сессий и их сброса, тут же будут появляться новые полуоткрытые сессии? Т.е. получится вечная борьба и канал как был загружен так и будет, только еще больше нагрузим циску.
Это я так думаю. Если я не прав, то прошу поправить.
Думаю надо сначала выявить признаки атаки, размер пакета, порт назначения и если хорошие отношения с провайдером попросить фильтровать исходящий трафик к вам по этим признакам, но это если у провайдера есть ресурсы для этого.
>Думаю надо сначала выявить признаки атаки, размер пакета, порт назначения и если
>хорошие отношения с провайдером попросить фильтровать исходящий трафик к вам по
>этим признакам, но это если у провайдера есть ресурсы для этого.
>Согласен... считаю, проблему можно решить только через провайдера, т.к. проблема именно в забитом канале
Как думаете, сколько может стоить такая услуга провайдера?Мы уже связались с провайдером и переговорили по поводу защиты с их стороны. Они сказали что могут это сделать, но у них нет такой услуги. Поэтому они сейчас думают по какой цене продавать нам эту услугу...
>Как думаете, сколько может стоить такая услуга провайдера?
>
>Мы уже связались с провайдером и переговорили по поводу защиты с их
>стороны. Они сказали что могут это сделать, но у них нет
>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>эту услугу...Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос как вы будете контролировать предоставление этой услуги, вы же не будете "видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это же трафик к вам, вы за него платите, так что на мой взгляд обсуждение цены со стороны провайдера не уместно.
>[оверквотинг удален]
>>Мы уже связались с провайдером и переговорили по поводу защиты с их
>>стороны. Они сказали что могут это сделать, но у них нет
>>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>>эту услугу...
>
>Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос
>как вы будете контролировать предоставление этой услуги, вы же не будете
>"видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это
>же трафик к вам, вы за него платите, так что на
>мой взгляд обсуждение цены со стороны провайдера не уместно.Может сам пров и флудит :)
>[оверквотинг удален]
>>>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>>>эту услугу...
>>
>>Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос
>>как вы будете контролировать предоставление этой услуги, вы же не будете
>>"видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это
>>же трафик к вам, вы за него платите, так что на
>>мой взгляд обсуждение цены со стороны провайдера не уместно.
>
>Может сам пров и флудит :)Хммм.. Угу. Точно также, когда клиент просит отчет о трафике за день и получает несколько мегабайт в преобразованном формате нетфлоу и вопрошает: "Как так может быть?? Вы наверное сами его сгенерировали?".
Угу. Сами. Сидели и неделями формировали отчет. Угу....
Могу заявить - мы отслеживаем и прикрываем участников DDOS атак, если просит пострадавшая сторона.
>Хммм.. Угу. Точно также, когда клиент просит отчет о трафике за день
>и получает несколько мегабайт в преобразованном формате нетфлоу и вопрошает: "Как
>так может быть?? Вы наверное сами его сгенерировали?".
>Угу. Сами. Сидели и неделями формировали отчет. Угу....
>Могу заявить - мы отслеживаем и прикрываем участников DDOS атак, если просит
>пострадавшая сторона.Интересно, а что на хосте клиента крутится? Публичный сервак? Куда все ломятся
Маленьким клиентам надо переходить на анлим каналы и выключать все компы на ночь.
А провайдеры уже давно включают в договор пункт, что спам трафик к клиенту (его публичному адресу) оплачивается клиентом.
Вроде есть софтовые файерволы, которые подсасывают общую базу спам адресов и блокируют их. Спросите про такое у прова