The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от opennews (ok) on 04-Июл-17, 21:40 
В 58 выпуске (https://sdcast.ksdaemon.ru/2017/07/sdcast-58/) подкаста SDCast  (mp3, 72 MB (https://sdcast.ksdaemon.ru/podlove/file/257/s/download/SDCas...), ogg, 56 MB (https://sdcast.ksdaemon.ru/podlove/file/256/s/download/SDCas...)) состоялось интервью с Павлом Одинцовым, разработчиком системы обнаружения DDoS-атак FastNetMon. В подкасте обсуждаются как теоретические вопросы о типах DDoS-атак, их целях и способах реализации, так и практические вопросы защиты и обнаружения DDoS-атак в контексте открытой системы мониторинга FastNetMon (https://github.com/pavel-odintsov/fastnetmon).

  

URL: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/
Новость: http://www.opennet.me/opennews/art.shtml?num=46806

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +5 +/
Сообщение от odintsov email(ok) on 04-Июл-17, 21:40 
Как обычно - отвечаю на вопросы в комментариях :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +1 +/
Сообщение от A.Stahl (ok) on 04-Июл-17, 22:06 
Есть ссылка на листинг интервью?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от odintsov email(ok) on 04-Июл-17, 22:47 
Полный листинг есть: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/ Но в подкасте есть вещи не упомянутые в нем, так как это был лишь план подкаста, а не его расшифровка.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  –1 +/
Сообщение от Аноним (??) on 04-Июл-17, 22:08 
А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем только UDP, если опять не помогло блокируем TCP кроме 80/443 портов и уже потом блокируем весь трафик.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от odintsov email(ok) on 04-Июл-17, 22:50 
> А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик
> на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика
> и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем
> только UDP, если опять не помогло блокируем TCP кроме 80/443 портов
> и уже потом блокируем весь трафик.

Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).

Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от Аноним (??) on 04-Июл-17, 22:56 
В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от odintsov email(ok) on 04-Июл-17, 22:58 
Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от Аноним (??) on 04-Июл-17, 23:07 
> Это хороший кейс, его можно реализовать через notify_script

Логично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от odintsov email(ok) on 05-Июл-17, 00:38 
Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от Аноним (??) on 04-Июл-17, 23:11 
А DDoS по IPv6 как блокируйте? Через BGP  его уже не заблокировать.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от odintsov email(ok) on 04-Июл-17, 23:12 
> А DDoS по IPv6 как блокируйте? Через BGP  его уже не
> заблокировать.

Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  –2 +/
Сообщение от Аноним (??) on 05-Июл-17, 16:31 
Подкаст в 2017? Серьёзно?
Ublock режет кстати запись.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Подкаст с разработчиком системы обнаружения DDoS-атак FastNe..."  +/
Сообщение от vantoo (ok) on 05-Июл-17, 22:14 
У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру