Перейти до

Рекомендованные сообщения

Опубліковано:
20 часов назад, l1ght сказал:

iq500 detected

 

а если по делу, то если фортик заставить лезть в трафик и форвардить трафик, который хардвардно не может офлоадится (читать надо доки на лимиты того что и как там работает), то перфоманс там печальный

1200D может легко отъехать от 500 мбит трафика который пришлось жевать CPU с нашим набором правил на нем 

Что за правила такие?

Опубліковано:

Защита от амплификаций:
 DNS-амплификации: блокировка всего трафика с 53 порта (UDP и TCP); разрешен доступ только к нашим DNS серверам;
 SNMP-амплификации: блокировка трафика с портов 161 и 162, трафик SNMP закрыт полностью
 SSDP-амплификации: блокировка трафика с порта 1900
 NTP-амплификации: закрыт доступ к службе времени по протоколу NTP
Блокировка фрагментированного трафика и нулевых портов:
 блокировка UDP и ICMP фрагментированного трафика
 пакеты с/на неправильный порт 0 заблокированы
ICMP (ping):
 ограничение ICMP по размеру пакета до 64 байт
 ограничение полосы пропускания для ICMP до 2Мбит/сек

Пример простой защиты которая спасет от большенства мощных атак

  • Thanks 1
  • Haha 1
Опубліковано:
39 минут назад, LOXUA сказав:

Защита от амплификаций:
 DNS-амплификации: блокировка всего трафика с 53 порта (UDP и TCP); разрешен доступ только к нашим DNS серверам;
 SNMP-амплификации: блокировка трафика с портов 161 и 162, трафик SNMP закрыт полностью
 SSDP-амплификации: блокировка трафика с порта 1900
 NTP-амплификации: закрыт доступ к службе времени по протоколу NTP
Блокировка фрагментированного трафика и нулевых портов:
 блокировка UDP и ICMP фрагментированного трафика
 пакеты с/на неправильный порт 0 заблокированы
ICMP (ping):
 ограничение ICMP по размеру пакета до 64 байт
 ограничение полосы пропускания для ICMP до 2Мбит/сек

Пример простой защиты которая спасет от большенства мощных атак

 

Это вам здесь сказали ? :)

  • Like 1
  • Haha 3
Опубліковано: (відредаговано)
В 20.04.2020 в 18:13, LOXUA сказал:

Сума сошел?? там же intel xeon он больше 10г никогда не потянет

Знімок екрана (294).png

 Думаю, если почитать Datasheet то можно понять что он может

Відредаговано used_net_ua
  • Confused 1
Опубліковано:
2 часа назад, used_net_ua сказал:

 Думаю, если почитать Datasheet то можно понять что он может

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

  • Haha 1
Опубліковано: (відредаговано)
22 минуты назад, LENS сказал:

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

Ну оно и понятно 2 ядра 2 гига нормальные атаки на асиках не отбить, разве что дроп по порту / длине / протоколу
А другой клоун в этом топике вообще блокировал син атаки по сигнатуре))))) 

Відредаговано LOXUA
Опубліковано:
3 часа назад, LENS сказал:

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

как и почти любой стейтфул фаервол в прочем 

Опубліковано:
Только что, l1ght сказал:

как и почти любой стейтфул фаервол в прочем 

У джуна 2 ядра у чела в топике 80 потоков, разница в призводительности огромная даже можно тупо в контрак средние син атаки забивать и пережует 
У меня так на e3 каком то 8 поточном 1мппс сина в контрак шло и работало без особоых проблем

  • Thanks 1
  • 1 month later...
Опубліковано:

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Опубліковано:
2 часа назад, pavlabor сказал:

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Если эти 200гбит поделить на каждый айпи провайдера чтоб на отдельно взятый прилетало 10-200мбит, то это закрытие провайдера в 99.99% случаях.. Но пока всем везет и так не атакуют, но это думаю вопрос времени 

Опубліковано:
2 часа назад, pavlabor сказал:

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Это жалкая отмазка. 

Опубліковано:
годину тому, sanyadnepr сказав:

Это жалкая отмазка. 

29.05.2020 "Укртелеком" сообщает о техническом сбое в сетях по всем регионам Украины

 

29.05.2020 У оператора Vodafone Украина масштабный сбой сети
Голосовая связь мобильного оператора «Vodafone Украина» частично не работает в ряде городов, абоненты оператора также сообщают о перебоях с мобильным интернетом. Представители компании официально подтвердили проблемы со связью, но пока не готовы назвать сроков возобновления нормальной работы.

21 мая, 15:05 "Киевстар" обещает компенсации своим клиентам, которые пострадали от масштабного сбоя в сети мобильного оператора 21 мая.

 

 

Опубліковано:
13 минут назад, pavlabor сказал:

29.05.2020 У оператора Vodafone Украина масштабный сбой сети
Голосовая связь мобильного оператора «Vodafone Украина» частично не работает в ряде городов, абоненты оператора также сообщают о перебоях с мобильным интернетом. Представители компании официально подтвердили проблемы со связью, но пока не готовы назвать сроков возобновления нормальной работы.

"В компании пока не объясняют, чем вызваны сбои в услугах, однако ранее Vodafone Украина анонсировала, что с 25 до 31 мая будет проводить плановые работы по модернизации оборудования в ряде областей."

 

14 минут назад, pavlabor сказал:

21 мая, 15:05 "Киевстар" обещает компенсации своим клиентам, которые пострадали от масштабного сбоя в сети мобильного оператора 21 мая.

У многих работало "ни единого разрыва". КС просто красиво прогнулся.

 

Воля с 31 мая по 02 июня это совсем другая история. 

 

Опубліковано:

Епт.. какие сервера с линуксом и фаерволом ??)) Какие сигнатуры ?) Вы о чем ?)))

Да хоть 16 процов V5 поставь, оно сдохнет что на линухе, что на фряхе.

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

Или вы думаете что самый умный на земле и один додумались на проце V2 фильтровать 40 гиг ? ))))))))))))))

 

Почитайте хотя бы про дорогие DPI на х86 на трафик > 10Г и на чем они это делают, а потом про железные DPI, и желание заниматься онанизмом пропадет )

И еще - подсетка всего \24 ?)) да ее заддосят за 10 минут и все 254 ип будут в блэкхоле у аплинков )) и никакой fortinet, juniper и arbor  не помогут  

Опубліковано:
15 минут назад, martin сказал:

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

почитайте хотябы про ntuple чтоль....

  • 3 months later...
Опубліковано:
В 21.04.2020 в 23:03, LOXUA сказал:

NTP-амплификации: закрыт доступ к службе времени по протоколу NTP

Навіщо закривати доступ до ntp ?

Опубліковано: (відредаговано)
В 03.06.2020 в 15:56, martin сказал:

Епт.. какие сервера с линуксом и фаерволом ??)) Какие сигнатуры ?) Вы о чем ?)))

Да хоть 16 процов V5 поставь, оно сдохнет что на линухе, что на фряхе.

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

Или вы думаете что самый умный на земле и один додумались на проце V2 фильтровать 40 гиг ? ))))))))))))))

 

Почитайте хотя бы про дорогие DPI на х86 на трафик > 10Г и на чем они это делают, а потом про железные DPI, и желание заниматься онанизмом пропадет )

И еще - подсетка всего \24 ?)) да ее заддосят за 10 минут и все 254 ип будут в блэкхоле у аплинков )) и никакой fortinet, juniper и arbor  не помогут  


80 гбит нагрузка 10%, проц один epyc 7742

fgeVtgH.png

Відредаговано Бульба
Опубліковано:
2 часа назад, Бульба сказал:


80 гбит нагрузка 10%, проц один epyc 7742

fgeVtgH.png

 

А сколько вам обходится в месяц канал в 100G?

 

Опубліковано:
10 минут назад, Бульба сказал:

Бесплатно 

 

Ок, вам выделен 40G внешний аплинк басплатно. Это супер, повезло ?

Скажу свое личное мнение, возможно у вас другие вводные данные, но мы когда защищались именно так считали.

 

Те, кто платит за трафик, чтобы защитить себя от ддос, при этом без деградации защищаемых сервисов, должны ежемесячно покупать каналы с емкостью 40/100 и более гигибит.

Например у меня потребление 30гигабит, но чтоб защититься от ддос атаки мне надо покупать в разы с запасом. А также надо поставить маршрутизатор и коммутатор, которые способны перемолоть такой трафик, затем поставить сервера, которые это фактически подавят.

Разовые затраты - а это десятки тыс долларов, мы не считаем, ладно.
Ежемесячные затраты - это от 10 тыс долларов переплаты за возможность защитить себя своими силами.

Ну и плюс персонал.

 

Я бы рассмотрел вариант купить VLAN или туннель до специализированной конторы, которая даст все инструменты, поможет с настройкой flow коллекторов и т.д.
Разовые затраты - до 1000 долларов,
Ежемесячно от 1000 до 2000 долларов, за защиту от аттак хоть в 1 терабит

В предложенной мною схеме все будет автоматизировано, коллектор автоматически анонсирует сети по BGP - время сработки до 10 секунд. Компании только развивать свой бизнес.

 

Ваш путь достаточно тяжелый и не дешевый (но тоже возможен) с единой точкой отказа - вами, как специалисте. Вы уволитесь и уйдете на повышение, а контора будет бегать и не знать что делать, так как все процессы были на opensource разработках и ваших собственных навыках.

Опубліковано: (відредаговано)
31 минуту назад, LENS сказал:

 

Ок, вам выделен 40G внешний аплинк басплатно. Это супер, повезло ?

Скажу свое личное мнение, возможно у вас другие вводные данные, но мы когда защищались именно так считали.

 

Те, кто платит за трафик, чтобы защитить себя от ддос, при этом без деградации защищаемых сервисов, должны ежемесячно покупать каналы с емкостью 40/100 и более гигибит.

Например у меня потребление 30гигабит, но чтоб защититься от ддос атаки мне надо покупать в разы с запасом. А также надо поставить маршрутизатор и коммутатор, которые способны перемолоть такой трафик, затем поставить сервера, которые это фактически подавят.

Разовые затраты - а это десятки тыс долларов, мы не считаем, ладно.
Ежемесячные затраты - это от 10 тыс долларов переплаты за возможность защитить себя своими силами.

Ну и плюс персонал.

 

Я бы рассмотрел вариант купить VLAN или туннель до специализированной конторы, которая даст все инструменты, поможет с настройкой flow коллекторов и т.д.
Разовые затраты - до 1000 долларов,
Ежемесячно от 1000 до 2000 долларов, за защиту от аттак хоть в 1 терабит

В предложенной мною схеме все будет автоматизировано, коллектор автоматически анонсирует сети по BGP - время сработки до 10 секунд. Компании только развивать свой бизнес.

 

Ваш путь достаточно тяжелый и не дешевый (но тоже возможен) с единой точкой отказа - вами, как специалисте. Вы уволитесь и уйдете на повышение, а контора будет бегать и не знать что делать, так как все процессы были на opensource разработках и ваших собственных навыках.

Знаешь что сейчас налить 10 гбит могут в порт 100 гбит? И эти 100 гбит можно нагружать 36 часов в месяц

Відредаговано Бульба

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
×
×
  • Створити нове...