URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9563
[ Назад ]

Исходное сообщение
"защита от DoS"
Отправлено Bagira , 11-Янв-06 13:22

1. имеется cisco-7206 с бжп
2. за этой циской находится web server на каком то компе
3. происходит DoS атака на www (предположительно icmp, udp) , именно на www, а не на циску
4. при этом плохеет самой циске - она теряет связь с аплинками
5. как защитить циску глобально от таких гадостей? просьба на пальцах с конкретными командами и примерами :-)

Содержание

защита от DoS,Сайко, 14:37 , 11-Янв-06
- защита от DoS,Bagira, 15:01 , 11-Янв-06
  - защита от DoS,Изгой, 15:18 , 11-Янв-06
    - защита от DoS,nikl, 15:21 , 11-Янв-06
      - защита от DoS,Изгой, 15:36 , 11-Янв-06
        
        защита от DoS,Сайко, 15:38 , 11-Янв-06
        
        защита от DoS,Изгой, 15:57 , 11-Янв-06
        
        защита от DoS,53kgdb backtrace, 17:30 , 11-Янв-06
        
        защита от DoS,Сайко, 17:34 , 11-Янв-06
        
        защита от DoS,TaranTuL, 00:00 , 14-Янв-06

Сообщения в этом обсуждении

"защита от DoS"
Отправлено Сайко , 11-Янв-06 14:37

В свое время была неплохая статейка.
Если осилишь - то во всем сам разберешься.
Cisco Router Firewall Security: DoS Protection
http://www.ciscopress.com/articles/article.asp?p=345618&rl=1
Собственно насколько я смог понять это часть книги
Cisco Router Firewall Security
http://www.ciscopress.com/bookstore/product.asp?isbn=1587051...

"защита от DoS"
Отправлено Bagira , 11-Янв-06 15:01

что то подобное я уже читал читаю и буду читать...
я просто плохо выразился что мне нужно
1. дано: много много много компов в сети каждый в своем вилане сидят по свитчам с зажатой скоростью 10мбит
2. циска роутит пакеты и посылает их провайдерам. при этом связка у нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь с провайдером 100мбит.
3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там компьютер.
4. мне нужно чтобы эта атака которая в принципе идет на один из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем защитив себя глобально я никак не хочу ущемлять компьтеры в скорости доступа и т п.
возможно ли такое ? вот читая эти статьи я такого не увидел. может я просто не понял что там написано? там вроде защищают роутер от атаки на него самого... прописывать каждому из сотни компов защиту это единственный вариант защитить роутер?.

"защита от DoS"
Отправлено Изгой , 11-Янв-06 15:18

>что то подобное я уже читал читаю и буду читать...
>я просто плохо выразился что мне нужно
>1. дано: много много много компов в сети каждый в своем вилане
>сидят по свитчам с зажатой скоростью 10мбит
>2. циска роутит пакеты и посылает их провайдерам. при этом связка у
>нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь
>с провайдером 100мбит.
>3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там
>компьютер.
>4. мне нужно чтобы эта атака которая в принципе идет на один
>из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба
>центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я
>хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на
>gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем
>защитив себя глобально я никак не хочу ущемлять компьтеры в скорости
>доступа и т п.
>
>возможно ли такое ? вот читая эти статьи я такого не увидел.
>может я просто не понял что там написано? там вроде защищают
>роутер от атаки на него самого... прописывать каждому из сотни компов
>защиту это единственный вариант защитить роутер?.
Ну почитав книги лично что понял , что полностью защитить роутер от атак нельзя , можно лишь смягчить последствия атак
что косаеться защиты , бала ссылка , на темплей , щас не могу откопать , там был пример защищённого роутера , CBAC там не значился , но в принципе неплохой теймплей, интерцепт и акцессы и фичи присутствовали.

"защита от DoS"
Отправлено nikl , 11-Янв-06 15:21

>что косаеться защиты , бала ссылка , на темплей , щас не
>могу откопать , там был пример защищённого роутера , CBAC там
>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>и фичи присутствовали.
http://www.cymru.com/Documents/secure-ios-template.html

"защита от DoS"
Отправлено Изгой , 11-Янв-06 15:36

>>что косаеться защиты , бала ссылка , на темплей , щас не
>>могу откопать , там был пример защищённого роутера , CBAC там
>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>и фичи присутствовали.
>http://www.cymru.com/Documents/secure-ios-template.html

Да только это уже свежий ))) 2006г

"защита от DoS"
Отправлено Сайко , 11-Янв-06 15:38

>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>и фичи присутствовали.
>>http://www.cymru.com/Documents/secure-ios-template.html
>
>
>Да только это уже свежий ))) 2006г
Ты приглядись то по внимательней!
Там только сетки меняются - удаляются из bogon фильтра те, которые были кому то выданы!

"защита от DoS"
Отправлено Изгой , 11-Янв-06 15:57

>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>и фичи присутствовали.
>>>http://www.cymru.com/Documents/secure-ios-template.html
>>
>>
>>Да только это уже свежий ))) 2006г
>
>Ты приглядись то по внимательней!
>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>кому то выданы!
Если честно лень смотреть было) как поменялся акл , больно длинный он , да и не нужен мне такой акл , мой 2621 от таких акцесов раньше помрёт чем от атак.Единственное что думал это интерцепт настроить , но вот думаю надо или не надо)

"защита от DoS"
Отправлено 53kgdb backtrace , 11-Янв-06 17:30

>>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>>и фичи присутствовали.
>>>>http://www.cymru.com/Documents/secure-ios-template.html
>>>
>>>
>>>Да только это уже свежий ))) 2006г
>>
>>Ты приглядись то по внимательней!
>>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>>кому то выданы!
>
>Если честно лень смотреть было) как поменялся акл , больно длинный он
>, да и не нужен мне такой акл , мой 2621
>от таких акцесов раньше помрёт чем от атак.Единственное что думал это
>интерцепт настроить , но вот думаю надо или не надо)
У больших операторов существует для таких целей blackhole community с помощью которого можно указать ip который нужно роутить в null0 на brах апстрима.(RFC-3882)Жаль что данную фичу наши апстримы не поддерживают !

"защита от DoS"
Отправлено Сайко , 11-Янв-06 17:34

>Жаль что данную фичу наши апстримы не поддерживают !
Зря ты так думаешь... Открыто может быть и нет, но по запросу точно могут. По крайней мере некоторые из них.

"защита от DoS"
Отправлено TaranTuL , 14-Янв-06 00:00

>>Жаль что данную фичу наши апстримы не поддерживают !
>Зря ты так думаешь... Открыто может быть и нет, но по запросу
>точно могут. По крайней мере некоторые из них.

А кто поддерживает? Я знаю только ретн и телию.