forum.opennet.ru - "Защита от известного IP под FreeBSD" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Защита от известного IP под FreeBSD"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Защита от известного IP под FreeBSD"	+/–
Сообщение от vkn (ok) on 08-Май-13, 11:36
Здравствуйте! Может кто сталкивался с подобной проблемой? Сеть через шлюз под FreeBSD 8.2 связана с Интернет. И у шлюза, и у компьютеров в сети белые IP. На шлюзе дежурит ipfw. Неприятность в следующем: С внешнего IP начинают забивать по UDP один из хостов в сети. Сессий всего 2. Но "напор" до 100 Мбит/с. Правило: ipfw deny ip from "внешний IP" to any позволяет только блокировать трафик с внешнего IP во внутреннюю сеть. НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с. Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера. Есть ли возможность защититься от такой атаки своими силами? С уважением, Константин.
Ответить \| Правка \| Cообщить модератору

Оглавление

Защита от известного IP под FreeBSD, свободный бздун, 12:32 , 08-Май-13, (1)
Защита от известного IP под FreeBSD, Miha, 13:55 , 08-Май-13, (2)

Защита от известного IP под FreeBSD, vkn, 14:14 , 08-Май-13, (3)

Защита от известного IP под FreeBSD, кегна, 15:42 , 08-Май-13, (4)

Защита от известного IP под FreeBSD, chipam, 15:50 , 08-Май-13, (5)

Защита от известного IP под FreeBSD, vkn, 18:39 , 08-Май-13, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Защита от известного IP под FreeBSD" +/–

Сообщение от свободный бздун on 08-Май-13, 12:32

Никак нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Защита от известного IP под FreeBSD" +/–

Сообщение от Miha (??) on 08-Май-13, 13:55

>[оверквотинг удален]
> Неприятность в следующем:
> С внешнего IP начинают забивать по UDP один из хостов в сети.
> Сессий всего 2. Но "напор" до 100 Мбит/с.
> Правило:
> ipfw deny ip from "внешний IP" to any
> позволяет только блокировать трафик с внешнего IP во внутреннюю сеть.
> НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с.
> Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера.
> Есть ли возможность защититься от такой атаки своими силами?
> С уважением, Константин.
А что так ipfw deny ip from "злой IP" to any не катит?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Защита от известного IP под FreeBSD" +/–

Сообщение от vkn (ok) on 08-Май-13, 14:14

>[оверквотинг удален]
>> Сессий всего 2. Но "напор" до 100 Мбит/с.
>> Правило:
>> ipfw deny ip from "внешний IP" to any
>> позволяет только блокировать трафик с внешнего IP во внутреннюю сеть.
>> НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с.
>> Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера.
>> Есть ли возможность защититься от такой атаки своими силами?
>> С уважением, Константин.
> А что так ipfw deny ip from "злой IP" to any не
> катит?
В том то все и дело! Не катит!
Пакеты режутся на шлюзе, но попытки их передачи от злого IP следуют одна за другой со скоростью в 100 Мбит/с. Наш канал в 15 Мбит/с был забит полностью. Остальные 85 Мбит/с достались провайдеру верхнего уровня.
Помогает только блокировка свыше.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Защита от известного IP под FreeBSD" +/–

Сообщение от кегна on 08-Май-13, 15:42

>[оверквотинг удален]
>>> Есть ли возможность защититься от такой атаки своими силами?
>>> С уважением, Константин.
>> А что так ipfw deny ip from "злой IP" to any не
>> катит?
>  В том то все и дело! Не катит!
>  Пакеты режутся на шлюзе, но попытки их передачи от злого IP
> следуют одна за другой со скоростью в 100 Мбит/с. Наш канал
> в 15 Мбит/с был забит полностью. Остальные 85 Мбит/с достались провайдеру
> верхнего уровня.
>  Помогает только блокировка свыше.
забивают канал. ничо вы не сделаете... только блокировка на порту выше.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Защита от известного IP под FreeBSD" +/–

Сообщение от chipam on 08-Май-13, 15:50

>[оверквотинг удален]
> Неприятность в следующем:
> С внешнего IP начинают забивать по UDP один из хостов в сети.
> Сессий всего 2. Но "напор" до 100 Мбит/с.
> Правило:
> ipfw deny ip from "внешний IP" to any
> позволяет только блокировать трафик с внешнего IP во внутреннюю сеть.
> НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с.
> Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера.
> Есть ли возможность защититься от такой атаки своими силами?
> С уважением, Константин.
К способу про общение с повайдером, есть еще способ, но для его реализации должна быть своя AS.
Суть способа в том, что бы определить из какой автономки зловредный IP, и при анонсировании своей ASки добавить AS-препендом номер его автономки.
При этом роутер, который выпускает ДДо-сящий ИП в инет увидит в AS-path анонса вашей автономки, номер своей автономки и отбросит данный анонс (это механизм для предотвращения закольцовывания трафика). В результате чего ваша сеть пропадет из таблицы маршрутизации удаленного роутера, и ДДоСер не будет знать маршрута в вашу есть, а заодно и и вся автономка, сеседствующая с вашим ДДоСером.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Защита от известного IP под FreeBSD" +/–

Сообщение от vkn (ok) on 08-Май-13, 18:39

>[оверквотинг удален]
> К способу про общение с повайдером, есть еще способ, но для его
> реализации должна быть своя AS.
> Суть способа в том, что бы определить из какой автономки зловредный IP,
> и при анонсировании своей ASки добавить AS-препендом номер его автономки.
> При этом роутер, который выпускает ДДо-сящий ИП в инет увидит в AS-path
> анонса вашей автономки, номер своей автономки и отбросит данный анонс (это
> механизм для предотвращения закольцовывания трафика). В результате чего ваша сеть пропадет
> из таблицы маршрутизации удаленного роутера, и ДДоСер не будет знать маршрута
> в вашу есть, а заодно и и вся автономка, сеседствующая с
> вашим ДДоСером.
Интересный способ.
  Своя AS есть. Но, к сожалению AS с зловредным IP слишком крупная, чтоб от нее
  закрыться надолго.
  На период "переговоров" с провайдером ДДоСера о принятии соответствующих мер к злоумышленнику такой анонс AS-препенда выручил бы.
  Не могли бы Вы подсказать пример строки в bgpd.conf для такого случая?
  С уважением, Константин.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Защита от известного IP под FreeBSD"	+/–
Сообщение от свободный бздун on 08-Май-13, 12:32
Никак нет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Защита от известного IP под FreeBSD"	+/–
Сообщение от Miha (??) on 08-Май-13, 13:55
>[оверквотинг удален] > Неприятность в следующем: > С внешнего IP начинают забивать по UDP один из хостов в сети. > Сессий всего 2. Но "напор" до 100 Мбит/с. > Правило: > ipfw deny ip from "внешний IP" to any > позволяет только блокировать трафик с внешнего IP во внутреннюю сеть. > НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с. > Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера. > Есть ли возможность защититься от такой атаки своими силами? > С уважением, Константин. А что так ipfw deny ip from "злой IP" to any не катит?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Защита от известного IP под FreeBSD"	+/–
	Сообщение от vkn (ok) on 08-Май-13, 14:14
	>[оверквотинг удален] >> Сессий всего 2. Но "напор" до 100 Мбит/с. >> Правило: >> ipfw deny ip from "внешний IP" to any >> позволяет только блокировать трафик с внешнего IP во внутреннюю сеть. >> НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с. >> Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера. >> Есть ли возможность защититься от такой атаки своими силами? >> С уважением, Константин. > А что так ipfw deny ip from "злой IP" to any не > катит? В том то все и дело! Не катит! Пакеты режутся на шлюзе, но попытки их передачи от злого IP следуют одна за другой со скоростью в 100 Мбит/с. Наш канал в 15 Мбит/с был забит полностью. Остальные 85 Мбит/с достались провайдеру верхнего уровня. Помогает только блокировка свыше.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Защита от известного IP под FreeBSD"	+/–
	Сообщение от кегна on 08-Май-13, 15:42
	>[оверквотинг удален] >>> Есть ли возможность защититься от такой атаки своими силами? >>> С уважением, Константин. >> А что так ipfw deny ip from "злой IP" to any не >> катит? > В том то все и дело! Не катит! > Пакеты режутся на шлюзе, но попытки их передачи от злого IP > следуют одна за другой со скоростью в 100 Мбит/с. Наш канал > в 15 Мбит/с был забит полностью. Остальные 85 Мбит/с достались провайдеру > верхнего уровня. > Помогает только блокировка свыше. забивают канал. ничо вы не сделаете... только блокировка на порту выше.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Защита от известного IP под FreeBSD"	+/–
Сообщение от chipam on 08-Май-13, 15:50
>[оверквотинг удален] > Неприятность в следующем: > С внешнего IP начинают забивать по UDP один из хостов в сети. > Сессий всего 2. Но "напор" до 100 Мбит/с. > Правило: > ipfw deny ip from "внешний IP" to any > позволяет только блокировать трафик с внешнего IP во внутреннюю сеть. > НО! "Забивается" канал от провайдера верхнего уровня. Ширина канала всего 15 Мбит/с. > Помогла только блокировка трафика с внешнего IP у вышестоящего провайдера. > Есть ли возможность защититься от такой атаки своими силами? > С уважением, Константин. К способу про общение с повайдером, есть еще способ, но для его реализации должна быть своя AS. Суть способа в том, что бы определить из какой автономки зловредный IP, и при анонсировании своей ASки добавить AS-препендом номер его автономки. При этом роутер, который выпускает ДДо-сящий ИП в инет увидит в AS-path анонса вашей автономки, номер своей автономки и отбросит данный анонс (это механизм для предотвращения закольцовывания трафика). В результате чего ваша сеть пропадет из таблицы маршрутизации удаленного роутера, и ДДоСер не будет знать маршрута в вашу есть, а заодно и и вся автономка, сеседствующая с вашим ДДоСером.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Защита от известного IP под FreeBSD"	+/–
	Сообщение от vkn (ok) on 08-Май-13, 18:39
	>[оверквотинг удален] > К способу про общение с повайдером, есть еще способ, но для его > реализации должна быть своя AS. > Суть способа в том, что бы определить из какой автономки зловредный IP, > и при анонсировании своей ASки добавить AS-препендом номер его автономки. > При этом роутер, который выпускает ДДо-сящий ИП в инет увидит в AS-path > анонса вашей автономки, номер своей автономки и отбросит данный анонс (это > механизм для предотвращения закольцовывания трафика). В результате чего ваша сеть пропадет > из таблицы маршрутизации удаленного роутера, и ДДоСер не будет знать маршрута > в вашу есть, а заодно и и вся автономка, сеседствующая с > вашим ДДоСером. Интересный способ. Своя AS есть. Но, к сожалению AS с зловредным IP слишком крупная, чтоб от нее закрыться надолго. На период "переговоров" с провайдером ДДоСера о принятии соответствующих мер к злоумышленнику такой анонс AS-препенда выручил бы. Не могли бы Вы подсказать пример строки в bgpd.conf для такого случая? С уважением, Константин.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору