forum.opennet.ru - "защита от DoS" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"защита от DoS"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"защита от DoS"
Сообщение от Bagira (??) on 11-Янв-06, 13:22 (MSK)
1. имеется cisco-7206 с бжп 2. за этой циской находится web server на каком то компе 3. происходит DoS атака на www (предположительно icmp, udp) , именно на www, а не на циску 4. при этом плохеет самой циске - она теряет связь с аплинками 5. как защитить циску глобально от таких гадостей? просьба на пальцах с конкретными командами и примерами :-)
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

защита от DoS, Сайко, 14:37 , 11-Янв-06, (1)

защита от DoS, Bagira, 15:01 , 11-Янв-06, (2)

защита от DoS, Изгой, 15:18 , 11-Янв-06, (3)

защита от DoS, nikl, 15:21 , 11-Янв-06, (4)

защита от DoS, Изгой, 15:36 , 11-Янв-06, (5)

защита от DoS, Сайко, 15:38 , 11-Янв-06, (6)

защита от DoS, Изгой, 15:57 , 11-Янв-06, (7)

защита от DoS, 53kgdb backtrace, 17:30 , 11-Янв-06, (8)

защита от DoS, Сайко, 17:34 , 11-Янв-06, (9)

защита от DoS, TaranTuL, 00:00 , 14-Янв-06, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "защита от DoS"

Сообщение от Сайко on 11-Янв-06, 14:37  (MSK)

В свое время была неплохая статейка.
Если осилишь - то во всем сам разберешься.
Cisco Router Firewall Security: DoS Protection
http://www.ciscopress.com/articles/article.asp?p=345618&rl=1
Собственно насколько я смог понять это часть книги
Cisco Router Firewall Security
http://www.ciscopress.com/bookstore/product.asp?isbn=1587051753&rl=1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "защита от DoS"

Сообщение от Bagira (??) on 11-Янв-06, 15:01  (MSK)

что то подобное я уже читал читаю и буду читать...
я просто плохо выразился что мне нужно
1. дано: много много много компов в сети каждый в своем вилане сидят по свитчам с зажатой скоростью 10мбит
2. циска роутит пакеты и посылает их провайдерам. при этом связка у нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь с провайдером 100мбит.
3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там компьютер.
4. мне нужно чтобы эта атака которая в принципе идет на один из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем защитив себя глобально я никак не хочу ущемлять компьтеры в скорости доступа и т п.
возможно ли такое ? вот читая эти статьи я такого не увидел. может я просто не понял что там написано? там вроде защищают роутер от атаки на него самого... прописывать каждому из сотни компов защиту это единственный вариант защитить роутер?.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "защита от DoS"

Сообщение от Изгой (??) on 11-Янв-06, 15:18  (MSK)

>что то подобное я уже читал читаю и буду читать...
>я просто плохо выразился что мне нужно
>1. дано: много много много компов в сети каждый в своем вилане
>сидят по свитчам с зажатой скоростью 10мбит
>2. циска роутит пакеты и посылает их провайдерам. при этом связка у
>нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь
>с провайдером 100мбит.
>3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там
>компьютер.
>4. мне нужно чтобы эта атака которая в принципе идет на один
>из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба
>центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я
>хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на
>gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем
>защитив себя глобально я никак не хочу ущемлять компьтеры в скорости
>доступа и т п.
>
>возможно ли такое ? вот читая эти статьи я такого не увидел.
>может я просто не понял что там написано? там вроде защищают
>роутер от атаки на него самого... прописывать каждому из сотни компов
>защиту это единственный вариант защитить роутер?.
Ну почитав книги лично что понял , что полностью защитить роутер от атак нельзя , можно лишь смягчить последствия атак
что косаеться защиты , бала ссылка , на темплей , щас не могу откопать , там был пример защищённого роутера , CBAC там не значился , но в принципе неплохой теймплей, интерцепт и акцессы и фичи присутствовали.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "защита от DoS"

Сообщение от nikl on 11-Янв-06, 15:21  (MSK)

>что косаеться защиты , бала ссылка , на темплей , щас не
>могу откопать , там был пример защищённого роутера , CBAC там
>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>и фичи присутствовали.
http://www.cymru.com/Documents/secure-ios-template.html

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "защита от DoS"

Сообщение от Изгой (??) on 11-Янв-06, 15:36  (MSK)

>>что косаеться защиты , бала ссылка , на темплей , щас не
>>могу откопать , там был пример защищённого роутера , CBAC там
>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>и фичи присутствовали.
>http://www.cymru.com/Documents/secure-ios-template.html

Да только это уже свежий ))) 2006г

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "защита от DoS"

Сообщение от Сайко on 11-Янв-06, 15:38  (MSK)

>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>и фичи присутствовали.
>>http://www.cymru.com/Documents/secure-ios-template.html
>
>
>Да только это уже свежий ))) 2006г
Ты приглядись то по внимательней!
Там только сетки меняются - удаляются из bogon фильтра те, которые были кому то выданы!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "защита от DoS"

Сообщение от Изгой (??) on 11-Янв-06, 15:57  (MSK)

>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>и фичи присутствовали.
>>>http://www.cymru.com/Documents/secure-ios-template.html
>>
>>
>>Да только это уже свежий ))) 2006г
>
>Ты приглядись то по внимательней!
>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>кому то выданы!
Если честно лень смотреть было) как поменялся акл , больно длинный он , да и не нужен мне такой акл , мой 2621 от таких акцесов раньше помрёт чем от атак.Единственное что думал это интерцепт настроить , но вот думаю надо или не надо)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "защита от DoS"

Сообщение от 53kgdb backtrace on 11-Янв-06, 17:30  (MSK)

>>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>>и фичи присутствовали.
>>>>http://www.cymru.com/Documents/secure-ios-template.html
>>>
>>>
>>>Да только это уже свежий ))) 2006г
>>
>>Ты приглядись то по внимательней!
>>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>>кому то выданы!
>
>Если честно лень смотреть было) как поменялся акл , больно длинный он
>, да и не нужен мне такой акл , мой 2621
>от таких акцесов раньше помрёт чем от атак.Единственное что думал это
>интерцепт настроить , но вот думаю надо или не надо)
У больших операторов существует для таких целей blackhole community с помощью которого можно указать ip который нужно роутить в null0 на brах апстрима.(RFC-3882)Жаль что данную фичу наши апстримы не поддерживают !

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "защита от DoS"

Сообщение от Сайко on 11-Янв-06, 17:34  (MSK)

>Жаль что данную фичу наши апстримы не поддерживают !
Зря ты так думаешь... Открыто может быть и нет, но по запросу точно могут. По крайней мере некоторые из них.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "защита от DoS"

Сообщение от TaranTuL (??) on 14-Янв-06, 00:00  (MSK)

>>Жаль что данную фичу наши апстримы не поддерживают !
>Зря ты так думаешь... Открыто может быть и нет, но по запросу
>точно могут. По крайней мере некоторые из них.

А кто поддерживает? Я знаю только ретн и телию.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "защита от DoS"
Сообщение от Сайко on 11-Янв-06, 14:37 (MSK)
В свое время была неплохая статейка. Если осилишь - то во всем сам разберешься. Cisco Router Firewall Security: DoS Protection http://www.ciscopress.com/articles/article.asp?p=345618&rl=1 Собственно насколько я смог понять это часть книги Cisco Router Firewall Security http://www.ciscopress.com/bookstore/product.asp?isbn=1587051753&rl=1
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "защита от DoS"
	Сообщение от Bagira (??) on 11-Янв-06, 15:01 (MSK)
	что то подобное я уже читал читаю и буду читать... я просто плохо выразился что мне нужно 1. дано: много много много компов в сети каждый в своем вилане сидят по свитчам с зажатой скоростью 10мбит 2. циска роутит пакеты и посылает их провайдерам. при этом связка у нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь с провайдером 100мбит. 3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там компьютер. 4. мне нужно чтобы эта атака которая в принципе идет на один из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем защитив себя глобально я никак не хочу ущемлять компьтеры в скорости доступа и т п. возможно ли такое ? вот читая эти статьи я такого не увидел. может я просто не понял что там написано? там вроде защищают роутер от атаки на него самого... прописывать каждому из сотни компов защиту это единственный вариант защитить роутер?.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "защита от DoS"
	Сообщение от Изгой (??) on 11-Янв-06, 15:18 (MSK)
	>что то подобное я уже читал читаю и буду читать... >я просто плохо выразился что мне нужно >1. дано: много много много компов в сети каждый в своем вилане >сидят по свитчам с зажатой скоростью 10мбит >2. циска роутит пакеты и посылает их провайдерам. при этом связка у >нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь >с провайдером 100мбит. >3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там >компьютер. >4. мне нужно чтобы эта атака которая в принципе идет на один >из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба >центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я >хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на >gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем >защитив себя глобально я никак не хочу ущемлять компьтеры в скорости >доступа и т п. > >возможно ли такое ? вот читая эти статьи я такого не увидел. >может я просто не понял что там написано? там вроде защищают >роутер от атаки на него самого... прописывать каждому из сотни компов >защиту это единственный вариант защитить роутер?. Ну почитав книги лично что понял , что полностью защитить роутер от атак нельзя , можно лишь смягчить последствия атак что косаеться защиты , бала ссылка , на темплей , щас не могу откопать , там был пример защищённого роутера , CBAC там не значился , но в принципе неплохой теймплей, интерцепт и акцессы и фичи присутствовали.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "защита от DoS"
	Сообщение от nikl on 11-Янв-06, 15:21 (MSK)
	>что косаеться защиты , бала ссылка , на темплей , щас не >могу откопать , там был пример защищённого роутера , CBAC там >не значился , но в принципе неплохой теймплей, интерцепт и акцессы >и фичи присутствовали. http://www.cymru.com/Documents/secure-ios-template.html
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "защита от DoS"
	Сообщение от Изгой (??) on 11-Янв-06, 15:36 (MSK)
	>>что косаеться защиты , бала ссылка , на темплей , щас не >>могу откопать , там был пример защищённого роутера , CBAC там >>не значился , но в принципе неплохой теймплей, интерцепт и акцессы >>и фичи присутствовали. >http://www.cymru.com/Documents/secure-ios-template.html Да только это уже свежий ))) 2006г
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "защита от DoS"
	Сообщение от Сайко on 11-Янв-06, 15:38 (MSK)
	>>>что косаеться защиты , бала ссылка , на темплей , щас не >>>могу откопать , там был пример защищённого роутера , CBAC там >>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы >>>и фичи присутствовали. >>http://www.cymru.com/Documents/secure-ios-template.html > > >Да только это уже свежий ))) 2006г Ты приглядись то по внимательней! Там только сетки меняются - удаляются из bogon фильтра те, которые были кому то выданы!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "защита от DoS"
	Сообщение от Изгой (??) on 11-Янв-06, 15:57 (MSK)
	>>>>что косаеться защиты , бала ссылка , на темплей , щас не >>>>могу откопать , там был пример защищённого роутера , CBAC там >>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы >>>>и фичи присутствовали. >>>http://www.cymru.com/Documents/secure-ios-template.html >> >> >>Да только это уже свежий ))) 2006г > >Ты приглядись то по внимательней! >Там только сетки меняются - удаляются из bogon фильтра те, которые были >кому то выданы! Если честно лень смотреть было) как поменялся акл , больно длинный он , да и не нужен мне такой акл , мой 2621 от таких акцесов раньше помрёт чем от атак.Единственное что думал это интерцепт настроить , но вот думаю надо или не надо)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "защита от DoS"
	Сообщение от 53kgdb backtrace on 11-Янв-06, 17:30 (MSK)
	>>>>>что косаеться защиты , бала ссылка , на темплей , щас не >>>>>могу откопать , там был пример защищённого роутера , CBAC там >>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы >>>>>и фичи присутствовали. >>>>http://www.cymru.com/Documents/secure-ios-template.html >>> >>> >>>Да только это уже свежий ))) 2006г >> >>Ты приглядись то по внимательней! >>Там только сетки меняются - удаляются из bogon фильтра те, которые были >>кому то выданы! > >Если честно лень смотреть было) как поменялся акл , больно длинный он >, да и не нужен мне такой акл , мой 2621 >от таких акцесов раньше помрёт чем от атак.Единственное что думал это >интерцепт настроить , но вот думаю надо или не надо) У больших операторов существует для таких целей blackhole community с помощью которого можно указать ip который нужно роутить в null0 на brах апстрима.(RFC-3882)Жаль что данную фичу наши апстримы не поддерживают !
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "защита от DoS"
	Сообщение от Сайко on 11-Янв-06, 17:34 (MSK)
	>Жаль что данную фичу наши апстримы не поддерживают ! Зря ты так думаешь... Открыто может быть и нет, но по запросу точно могут. По крайней мере некоторые из них.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "защита от DoS"
	Сообщение от TaranTuL (??) on 14-Янв-06, 00:00 (MSK)
	>>Жаль что данную фичу наши апстримы не поддерживают ! >Зря ты так думаешь... Открыто может быть и нет, но по запросу >точно могут. По крайней мере некоторые из них. А кто поддерживает? Я знаю только ретн и телию.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]