Jump to content
Local
vokforever

Посоветуйте роутер со встроенной защитой от DDoS (LOIC\UPD\SYN).

Recommended Posts

Здравствуйте!

Посоветуйте роутер со встроенной защитой от DDoS (LOIC\UPD\SYN).

Сейчас сервер атакуют на 53port\UDP\DNS

Есть возможность купить в моем городе:

Cisco 1841

Cisco 871

Cisco 1721

Cisco 1751

Cisco 1751 V

Cisco SB 101

 

Какой лучше мне подойдет и подойдет ли вообще ?

Edited by vokforever

Share this post


Link to post
Share on other sites

Ни один из вышеперечисленных.

Share this post


Link to post
Share on other sites

Ни один из вышеперечисленных.

Спасибо, а какой подойдет (не из данных выше)?

Share this post


Link to post
Share on other sites

Поправьте задачу - ширина канала и pps. Тогда можно что-то посоветовать.

Share this post


Link to post
Share on other sites

Сейчас канал 80-100мбит, можно увеличить до 1гигабита.

Кол-во пакетов? Не знаю даже.

s2p2oemviarc.png

у меня от такой активности , уже даже пинги и трассировки на шлюз не идут.

Share this post


Link to post
Share on other sites

Это разве активность? ;)

Возьмите микротик CCR, будет слегка дороже б/ушной циски.

Share this post


Link to post
Share on other sites

Кавычки забыл, "активность" - типа флуд атака.

 
Маршрутизатор (router) MikroTik Cloud Core Router, CCR1016-12G НОВЫЙ

Компьютеры » Периферийные устройстваКиев

7 116 грн.

 

Это дорого выходит.

Только он справится с поставленной задачей ?

Бюджетных вариантов нет ?

Share this post


Link to post
Share on other sites

ПК + Линукс или Фришка

Как я понял, поставить ПК с linux до сервера, на нем фильровать и отдавать на сервер ?

Share this post


Link to post
Share on other sites

Из тех Cisco, что Вы указали, 100 МБит трафика не переварит ни один. Тем более, я думаю, что на нем нужна будет куча других сервисов.

Такого класса cisco - наверное,

DNS сервер, я так понимаю, находится внутри вашей сети и снаружи идет масса пакетов 

53port\UDP\DNS. Пакеты идут с разных адресов или с одного/небольшого количества?

Тут другой вопрос - что Вы собираетесь делать с этими пакетами?

И если атака распределенная - вы собираетесь закрыться вообще снаружи порт 53?

Share this post


Link to post
Share on other sites

"Отфильтровать" проще на любом L2+ свиче современном. Типа длинк 3526/3200.

Ибо автоматически бороться с DOSом ни циско-роутер, ни сервер на linux не будут, а закрыть нужные порты замечательно сможет и длинк за 100$, причем на скорости 1Г.

Share this post


Link to post
Share on other sites

Из тех Cisco, что Вы указали, 100 МБит трафика не переварит ни один. Тем более, я думаю, что на нем нужна будет куча других сервисов.

Такого класса cisco - наверное,

DNS сервер, я так понимаю, находится внутри вашей сети и снаружи идет масса пакетов 

53port\UDP\DNS. Пакеты идут с разных адресов или с одного/небольшого количества?

Тут другой вопрос - что Вы собираетесь делать с этими пакетами?

И если атака распределенная - вы собираетесь закрыться вообще снаружи порт 53?

DNS сервера, внутри сети нет,

Порт 53 я не использую и можно закрыть, но я пытался через iptables:

iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP

Не помогло, ложится канал, как-будто.

 

"Отфильтровать" проще на любом L2+ свиче современном. Типа длинк 3526/3200.

Ибо автоматически бороться с DOSом ни циско-роутер, ни сервер на linux не будут, а закрыть нужные порты замечательно сможет и длинк за 100$, причем на скорости 1Г.

Подробнее можно ? Цена не 100$ получается.

 
свич d-link xstack des-3200-26Компьютеры » Периферийные устройстваЧерновцы 1 800 грн.

Могу провести гигабит + подобное устройство ($100) - это меня спасет от атак ? Главное чтобы канал не забивался так.

Edited by vokforever

Share this post


Link to post
Share on other sites

 

 

Подробнее можно ? Что за L2+ ? Цена не 100$ получается.
 

вам не надо новый, берите бу, предложения тут периодически есть на форуме с 50% скидкой

Share this post


Link to post
Share on other sites

Могу провести гигабит + подобное устройство ($100) - это меня спасет от атак ? Главное чтобы канал не забивался так.

Вероятнее всего спасет. Если атака конечно не навороченная , которая сможет забить и 1Г канал :)

Нужен любой свич умеющий адекватные acl - проще всего б/у длинк серий 3526/3100/3200 и даже 1210/me

Share this post


Link to post
Share on other sites

 

Подробнее можно ? Что за L2+ ? Цена не 100$ получается.
 

вам не надо новый, берите бу, предложения тут периодически есть на форуме с 50% скидкой

 

Понял, нашел D-link des-3526.

Могу провести гигабит + D-link des-3526 - как я понял на нем закрываю все порты (включая 53), кроме тех которыми пользуюсь ?

Канал не будет забиваться так?

И еще, UDP же не имеет handshake, через этот свитч он не пройдет ?

Share this post


Link to post
Share on other sites

А расскажите мне друзья, как спасет железка или iptables, если приезжает over 20G трафика, когда у человека дырка на 1G.

 

Да хоть обложись джуниперами и нетскринами со всех боков - тебя это не спасет

Share this post


Link to post
Share on other sites

Есть вероятность что ложится все-таки не внешний канал, а атакуемый сервер. В такой ситуации фильтрация свичем поможет на ура.

Если же это полноценный ddos - спасения окромя переноса в дц с жирными каналами и своей системой защиты нет.

Сколько там трафика в момент атаки идёт должен сам тс сказать, погляди на интерфейсе тем же ifstat -i eth0 -b

Share this post


Link to post
Share on other sites

Есть вероятность что ложится все-таки не внешний канал, а атакуемый сервер. В такой ситуации фильтрация свичем поможет на ура.

Если же это полноценный ddos - спасения окромя переноса в дц с жирными каналами и своей системой защиты нет.

Сколько там трафика в момент атаки идёт должен сам тс сказать, погляди на интерфейсе тем же ifstat -i eth0 -b

Ок, при следующей атаке посмотрю.

Провайдер утверждает, что с его оборудованием все норм и порт (моя линия) не закрывается.

Это на 100мбитах.

Share this post


Link to post
Share on other sites

Согласен также, что если забивается канал, то никакая железка не поможет.

Если действительно сервер ложится, то можно офильтровать входящий трафик.

Из недорогого видел Cisco pix 516e - вот он точно справится со 100 Мбит трафика + nat.

Цена была очень гуманная как для такого устройства. Не знаю остался ли он еще...

http://local.com.ua/forum/topic/57893-продам-cisco-firewall-pix-515e/?hl=%2Bcisco+%2Bpix

Share this post


Link to post
Share on other sites

Предложили еще одно решение, как я понял опробованное на практике:

На MikroTik RouterBoard то есть на RouterOS, справился несложным правилом:
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
То есть, нам надо дропнуть входящие в роутер соединения, приходящие на 53 порт нашего WAN.

Во время флуда, процессор роутера вешался в 100%, после применения правила 4-7%

Такое правило можно настроить везде или только в микротиках? 
 

Согласен также, что если забивается канал, то никакая железка не поможет.

 

 

 

Ну провайдер говорит, что у них с железом все ок.

Но трассировки и пинги не уходят.

Сеть есть вроде как, т.к пакеты я принимаю атакующие . По идеи у них оборудование живет? 

Share this post


Link to post
Share on other sites

Предложили еще одно решение, как я понял опробованное на практике:

Как раз такое можно сделать на любом свиче с ACL, это единственный доступный вам вариант борьбы. И роутер(тем более микротиковский) для этого нафиг не нужен.

Вот только нет гарантии что это вас спасет.

Share this post


Link to post
Share on other sites

Тема ни о чем. Флуд по tcp, который действительно можно файрволить остался в 90-х. От самого слабенького ботнета по udp никакой файрвол у клиента не спасет. В 99% случаях сорс IP, порт и размер пакета рендомны. Только просить вышестоящего провайдера фильтровать у себя и выше передавать по цепочке. Фильтровать вышестоящие провайдеры смогут только по dst IP жертвы до того времени, пока поток сам собой не прекратится.

Share this post


Link to post
Share on other sites

Выяснил сегодня, все же ложится канал у провайдера.


У соседа тоже интернета нет при атаках.


Share this post


Link to post
Share on other sites

Берите микрот или pfsens, разгребайте до L7 и по regexp тупо блочите пакет, всех этих ddos один и тот же запрос внутри.

Share this post


Link to post
Share on other sites

Думаю, Вам никакая железка не поможет в случае забивания канала. Думаю, только совет от kha0s может Вам помочь, если еще провайдер захочет таким заниматься...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • By antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
      Контакты:
      www.hi-load.biz (на сайте есть online chat)
      +48 518 759 968 (Telegram, Viber)
      +380 68 420 0111
      +380 95 420 0111
       
       
       
       

    • By СИОН
      Доброго времени суток коллеги.
      Такая проблема случилось...
      Взломали сеть - положили биллинг и микротик основной. 
      Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 
      Восстанавливаем уже третьи сутки.
       
      Вопрос:
      Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.
      Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.
      Заранее спасибо.
    • By MazaXaka
      Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.
       
      Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.
      Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow
      наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.
       
      Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?
    • By USD
      активно досят мои ір 
      тсп/удп
      заяву в  кибер уже написал
      кто как наблюдает/борется?
      у меня софт бджп на никсе
×