Перейти до

Посоветуйте роутер со встроенной защитой от DDoS (LOIC\UPD\SYN).


Рекомендованные сообщения

Здравствуйте!

Посоветуйте роутер со встроенной защитой от DDoS (LOIC\UPD\SYN).

Сейчас сервер атакуют на 53port\UDP\DNS

Есть возможность купить в моем городе:

Cisco 1841

Cisco 871

Cisco 1721

Cisco 1751

Cisco 1751 V

Cisco SB 101

 

Какой лучше мне подойдет и подойдет ли вообще ?

Відредаговано vokforever
Ссылка на сообщение
Поделиться на других сайтах

Сейчас канал 80-100мбит, можно увеличить до 1гигабита.

Кол-во пакетов? Не знаю даже.

s2p2oemviarc.png

у меня от такой активности , уже даже пинги и трассировки на шлюз не идут.

Ссылка на сообщение
Поделиться на других сайтах

Это разве активность? ;)

Возьмите микротик CCR, будет слегка дороже б/ушной циски.

Ссылка на сообщение
Поделиться на других сайтах

Кавычки забыл, "активность" - типа флуд атака.

 
Маршрутизатор (router) MikroTik Cloud Core Router, CCR1016-12G НОВЫЙ

Компьютеры » Периферийные устройстваКиев

7 116 грн.

 

Это дорого выходит.

Только он справится с поставленной задачей ?

Бюджетных вариантов нет ?

Ссылка на сообщение
Поделиться на других сайтах

Из тех Cisco, что Вы указали, 100 МБит трафика не переварит ни один. Тем более, я думаю, что на нем нужна будет куча других сервисов.

Такого класса cisco - наверное,

DNS сервер, я так понимаю, находится внутри вашей сети и снаружи идет масса пакетов 

53port\UDP\DNS. Пакеты идут с разных адресов или с одного/небольшого количества?

Тут другой вопрос - что Вы собираетесь делать с этими пакетами?

И если атака распределенная - вы собираетесь закрыться вообще снаружи порт 53?

Ссылка на сообщение
Поделиться на других сайтах

"Отфильтровать" проще на любом L2+ свиче современном. Типа длинк 3526/3200.

Ибо автоматически бороться с DOSом ни циско-роутер, ни сервер на linux не будут, а закрыть нужные порты замечательно сможет и длинк за 100$, причем на скорости 1Г.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Из тех Cisco, что Вы указали, 100 МБит трафика не переварит ни один. Тем более, я думаю, что на нем нужна будет куча других сервисов.

Такого класса cisco - наверное,

DNS сервер, я так понимаю, находится внутри вашей сети и снаружи идет масса пакетов 

53port\UDP\DNS. Пакеты идут с разных адресов или с одного/небольшого количества?

Тут другой вопрос - что Вы собираетесь делать с этими пакетами?

И если атака распределенная - вы собираетесь закрыться вообще снаружи порт 53?

DNS сервера, внутри сети нет,

Порт 53 я не использую и можно закрыть, но я пытался через iptables:

iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP

Не помогло, ложится канал, как-будто.

 

"Отфильтровать" проще на любом L2+ свиче современном. Типа длинк 3526/3200.

Ибо автоматически бороться с DOSом ни циско-роутер, ни сервер на linux не будут, а закрыть нужные порты замечательно сможет и длинк за 100$, причем на скорости 1Г.

Подробнее можно ? Цена не 100$ получается.

 
свич d-link xstack des-3200-26Компьютеры » Периферийные устройстваЧерновцы 1 800 грн.

Могу провести гигабит + подобное устройство ($100) - это меня спасет от атак ? Главное чтобы канал не забивался так.

Відредаговано vokforever
Ссылка на сообщение
Поделиться на других сайтах

 

 

Подробнее можно ? Что за L2+ ? Цена не 100$ получается.
 

вам не надо новый, берите бу, предложения тут периодически есть на форуме с 50% скидкой

Ссылка на сообщение
Поделиться на других сайтах

Могу провести гигабит + подобное устройство ($100) - это меня спасет от атак ? Главное чтобы канал не забивался так.

Вероятнее всего спасет. Если атака конечно не навороченная , которая сможет забить и 1Г канал :)

Нужен любой свич умеющий адекватные acl - проще всего б/у длинк серий 3526/3100/3200 и даже 1210/me

Ссылка на сообщение
Поделиться на других сайтах

 

Подробнее можно ? Что за L2+ ? Цена не 100$ получается.
 

вам не надо новый, берите бу, предложения тут периодически есть на форуме с 50% скидкой

 

Понял, нашел D-link des-3526.

Могу провести гигабит + D-link des-3526 - как я понял на нем закрываю все порты (включая 53), кроме тех которыми пользуюсь ?

Канал не будет забиваться так?

И еще, UDP же не имеет handshake, через этот свитч он не пройдет ?

Ссылка на сообщение
Поделиться на других сайтах

А расскажите мне друзья, как спасет железка или iptables, если приезжает over 20G трафика, когда у человека дырка на 1G.

 

Да хоть обложись джуниперами и нетскринами со всех боков - тебя это не спасет

Ссылка на сообщение
Поделиться на других сайтах

Есть вероятность что ложится все-таки не внешний канал, а атакуемый сервер. В такой ситуации фильтрация свичем поможет на ура.

Если же это полноценный ddos - спасения окромя переноса в дц с жирными каналами и своей системой защиты нет.

Сколько там трафика в момент атаки идёт должен сам тс сказать, погляди на интерфейсе тем же ifstat -i eth0 -b

Ссылка на сообщение
Поделиться на других сайтах

Есть вероятность что ложится все-таки не внешний канал, а атакуемый сервер. В такой ситуации фильтрация свичем поможет на ура.

Если же это полноценный ddos - спасения окромя переноса в дц с жирными каналами и своей системой защиты нет.

Сколько там трафика в момент атаки идёт должен сам тс сказать, погляди на интерфейсе тем же ifstat -i eth0 -b

Ок, при следующей атаке посмотрю.

Провайдер утверждает, что с его оборудованием все норм и порт (моя линия) не закрывается.

Это на 100мбитах.

Ссылка на сообщение
Поделиться на других сайтах

Согласен также, что если забивается канал, то никакая железка не поможет.

Если действительно сервер ложится, то можно офильтровать входящий трафик.

Из недорогого видел Cisco pix 516e - вот он точно справится со 100 Мбит трафика + nat.

Цена была очень гуманная как для такого устройства. Не знаю остался ли он еще...

http://local.com.ua/forum/topic/57893-продам-cisco-firewall-pix-515e/?hl=%2Bcisco+%2Bpix

Ссылка на сообщение
Поделиться на других сайтах

Предложили еще одно решение, как я понял опробованное на практике:

На MikroTik RouterBoard то есть на RouterOS, справился несложным правилом:
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
То есть, нам надо дропнуть входящие в роутер соединения, приходящие на 53 порт нашего WAN.

Во время флуда, процессор роутера вешался в 100%, после применения правила 4-7%

Такое правило можно настроить везде или только в микротиках? 
 

Согласен также, что если забивается канал, то никакая железка не поможет.

 

 

 

Ну провайдер говорит, что у них с железом все ок.

Но трассировки и пинги не уходят.

Сеть есть вроде как, т.к пакеты я принимаю атакующие . По идеи у них оборудование живет? 

Ссылка на сообщение
Поделиться на других сайтах

Предложили еще одно решение, как я понял опробованное на практике:

Как раз такое можно сделать на любом свиче с ACL, это единственный доступный вам вариант борьбы. И роутер(тем более микротиковский) для этого нафиг не нужен.

Вот только нет гарантии что это вас спасет.

Ссылка на сообщение
Поделиться на других сайтах

Тема ни о чем. Флуд по tcp, который действительно можно файрволить остался в 90-х. От самого слабенького ботнета по udp никакой файрвол у клиента не спасет. В 99% случаях сорс IP, порт и размер пакета рендомны. Только просить вышестоящего провайдера фильтровать у себя и выше передавать по цепочке. Фильтровать вышестоящие провайдеры смогут только по dst IP жертвы до того времени, пока поток сам собой не прекратится.

Ссылка на сообщение
Поделиться на других сайтах

Думаю, Вам никакая железка не поможет в случае забивания канала. Думаю, только совет от kha0s может Вам помочь, если еще провайдер захочет таким заниматься...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
       
      Hi-Load Systems LLC
       Украина, 49000
       Днепр, ул. Казакова, 2Д
       БЦ «Континент»
       +380 68 420 0111; +380 95 420 0111
       
       
       
       
    • Від pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • Від KGroup
      Доброго времени суток коллеги.
      Такая проблема случилось...
      Взломали сеть - положили биллинг и микротик основной. 
      Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 
      Восстанавливаем уже третьи сутки.
       
      Вопрос:
      Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.
      Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.
      Заранее спасибо.
×
×
  • Створити нове...