The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"защита от DoS"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"защита от DoS" 
Сообщение от Bagira emailИскать по авторуВ закладки(??) on 11-Янв-06, 13:22  (MSK)
1. имеется cisco-7206 с бжп
2. за этой циской находится web server на каком то компе
3. происходит DoS атака на www (предположительно icmp, udp) , именно на www, а не на циску
4. при этом плохеет самой циске - она теряет связь с аплинками
5. как защитить циску глобально от таких гадостей? просьба на пальцах с конкретными командами и примерами :-)
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "защита от DoS" 
Сообщение от Сайко Искать по авторуВ закладки on 11-Янв-06, 14:37  (MSK)
В свое время была неплохая статейка.
Если осилишь - то во всем сам разберешься.
Cisco Router Firewall Security: DoS Protection
http://www.ciscopress.com/articles/article.asp?p=345618&rl=1

Собственно насколько я смог понять это часть книги
Cisco Router Firewall Security
http://www.ciscopress.com/bookstore/product.asp?isbn=1587051753&rl=1

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "защита от DoS" 
Сообщение от Bagira emailИскать по авторуВ закладки(??) on 11-Янв-06, 15:01  (MSK)
что то подобное я уже читал читаю и буду читать...
я просто плохо выразился что мне нужно
1. дано: много много много компов в сети каждый в своем вилане сидят по свитчам с зажатой скоростью 10мбит
2. циска роутит пакеты и посылает их провайдерам. при этом связка у нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь с провайдером 100мбит.
3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там компьютер.
4. мне нужно чтобы эта атака которая в принципе идет на один из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем защитив себя глобально я никак не хочу ущемлять компьтеры в скорости доступа и т п.

возможно ли такое ? вот читая эти статьи я такого не увидел. может я просто не понял что там написано? там вроде защищают роутер от атаки на него самого... прописывать каждому из сотни компов защиту это единственный вариант защитить роутер?.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "защита от DoS" 
Сообщение от Изгой emailИскать по авторуВ закладки(??) on 11-Янв-06, 15:18  (MSK)
>что то подобное я уже читал читаю и буду читать...
>я просто плохо выразился что мне нужно
>1. дано: много много много компов в сети каждый в своем вилане
>сидят по свитчам с зажатой скоростью 10мбит
>2. циска роутит пакеты и посылает их провайдерам. при этом связка у
>нее гигабитный езернет со свитчем в котором сидят провайдеры. причем связь
>с провайдером 100мбит.
>3. мне "относительно" (относительно!) пофигу что была произведена атака на какой-то там
>компьютер.
>4. мне нужно чтобы эта атака которая в принципе идет на один
>из виртуальных интерфейсов и уходит далее по свитчам не нанесла ущерба
>центральному роутеру и магистрали(каналам до провайдера по свитчам). т е я
>хочу глобально исключить вариант перегрузки интерфейсов. желательно это правило прописать на
>gigabit 0/0 сразу для всех, а не прописывать всем желающим. причем
>защитив себя глобально я никак не хочу ущемлять компьтеры в скорости
>доступа и т п.
>
>возможно ли такое ? вот читая эти статьи я такого не увидел.
>может я просто не понял что там написано? там вроде защищают
>роутер от атаки на него самого... прописывать каждому из сотни компов
>защиту это единственный вариант защитить роутер?.

Ну почитав книги лично что понял , что полностью защитить роутер от атак нельзя , можно лишь смягчить последствия атак

что косаеться защиты , бала ссылка , на темплей , щас не могу откопать , там был пример защищённого роутера , CBAC там не значился , но в принципе неплохой теймплей, интерцепт и акцессы и фичи присутствовали.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "защита от DoS" 
Сообщение от nikl Искать по авторуВ закладки on 11-Янв-06, 15:21  (MSK)
>что косаеться защиты , бала ссылка , на темплей , щас не
>могу откопать , там был пример защищённого роутера , CBAC там
>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>и фичи присутствовали.
http://www.cymru.com/Documents/secure-ios-template.html


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "защита от DoS" 
Сообщение от Изгой emailИскать по авторуВ закладки(??) on 11-Янв-06, 15:36  (MSK)
>>что косаеться защиты , бала ссылка , на темплей , щас не
>>могу откопать , там был пример защищённого роутера , CBAC там
>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>и фичи присутствовали.
>http://www.cymru.com/Documents/secure-ios-template.html


Да только это уже свежий ))) 2006г

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "защита от DoS" 
Сообщение от Сайко Искать по авторуВ закладки on 11-Янв-06, 15:38  (MSK)
>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>и фичи присутствовали.
>>http://www.cymru.com/Documents/secure-ios-template.html
>
>
>Да только это уже свежий ))) 2006г

Ты приглядись то по внимательней!
Там только сетки меняются - удаляются из bogon фильтра те, которые были кому то выданы!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "защита от DoS" 
Сообщение от Изгой emailИскать по авторуВ закладки(??) on 11-Янв-06, 15:57  (MSK)
>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>и фичи присутствовали.
>>>http://www.cymru.com/Documents/secure-ios-template.html
>>
>>
>>Да только это уже свежий ))) 2006г
>
>Ты приглядись то по внимательней!
>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>кому то выданы!

Если честно лень смотреть было) как поменялся акл , больно длинный он , да и не нужен мне такой акл , мой 2621 от таких акцесов раньше помрёт чем от атак.Единственное что думал это интерцепт настроить , но вот думаю надо или не надо)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "защита от DoS" 
Сообщение от 53kgdb backtrace Искать по авторуВ закладки on 11-Янв-06, 17:30  (MSK)
>>>>>что косаеться защиты , бала ссылка , на темплей , щас не
>>>>>могу откопать , там был пример защищённого роутера , CBAC там
>>>>>не значился , но в принципе неплохой теймплей, интерцепт и акцессы
>>>>>и фичи присутствовали.
>>>>http://www.cymru.com/Documents/secure-ios-template.html
>>>
>>>
>>>Да только это уже свежий ))) 2006г
>>
>>Ты приглядись то по внимательней!
>>Там только сетки меняются - удаляются из bogon фильтра те, которые были
>>кому то выданы!
>
>Если честно лень смотреть было) как поменялся акл , больно длинный он
>, да и не нужен мне такой акл , мой 2621
>от таких акцесов раньше помрёт чем от атак.Единственное что думал это
>интерцепт настроить , но вот думаю надо или не надо)

У больших операторов существует для таких целей blackhole community с помощью которого можно указать ip который нужно роутить в null0 на brах апстрима.(RFC-3882)Жаль что данную фичу наши апстримы не поддерживают !

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "защита от DoS" 
Сообщение от Сайко Искать по авторуВ закладки on 11-Янв-06, 17:34  (MSK)
>Жаль что данную фичу наши апстримы не поддерживают !
Зря ты так думаешь... Открыто может быть и нет, но по запросу точно могут. По крайней мере некоторые из них.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "защита от DoS" 
Сообщение от TaranTuL Искать по авторуВ закладки(??) on 14-Янв-06, 00:00  (MSK)
>>Жаль что данную фичу наши апстримы не поддерживают !
>Зря ты так думаешь... Открыто может быть и нет, но по запросу
>точно могут. По крайней мере некоторые из них.


А кто поддерживает? Я знаю только ретн и телию.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру