Перейти до

DDoS на Mikrotik

Виктор Николаевич

Від Виктор Николаевич
в DDoS захист

 Share

Рекомендованные сообщения

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубликовано:
Опубликовано:

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

 

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

 

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

Айпи конкурентаатакующие случайно не из Китая ?  :)

:D

нет, "долбят не косоокие", атакующие айпишники из Германии.

Відредаговано Виктор Николаевич
Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

Атакуют как обычно ssh ? - можно выключить и есть в инете описание трех уровнего бана, на разный промежуток времени.

эти уроды выбрали другой алгоритм, долбят комплексно syn + udp

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

Сомневаюсь что микротик это сможет, проца не хватит, рубите на вышестоящем оборудовании.

 

ок.

а хоть примерно, по какому принципу фильтровать от DDos?

Похоже что алгоритм атак они меняют через 1-2 суток.

 

кроме syn/udp там еще добавилась атака мелкими пакетами почти по всем портам.

Відредаговано Виктор Николаевич
Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

Принцип, не поможет, есть вышестоящие сервера с нормальной Осью ?

Есть. FreeBSD.

 

 

Платный антиддос вероятно поможет.

 

а какой порядок цен хоть примерно за такие услуги?

Angel_ua Первая Кровь

Angel_ua

Опубліковано:
Опубліковано:

немного может помочь порт скан

микротик "тяжко" обрабатывает пакеты на себя, все, что найдет порт скан dnat кидайте в никуда (левый адрес)

ttttt Дракон

ttttt

Опубліковано:
Опубліковано:

С постов понял, что атакуют айпишник NATа, а он просто по совместительству оказался микротиком? Причем атака малюсенькая, т.к. все успешно роутится машинкой на FreeBSD на этот микротик. Так?

 

Тогда может хватить простых правил ipfw, но стоит готовиться, что атака может продолжиться с большей силой и машинка на freebsd тоже умрет.

 

а какой порядок цен хоть примерно за такие услуги?

От бесплатно до сколько смогут стянуть. Цены отличаются на пять порядков.
Magus Точу Зубы

Magus

Опубліковано:
Опубліковано:

 

нет, "долбят не косоокие", атакующие айпишники из Германии.

Пробить по хуизу и написать на абьюс(если это сервера в ДЦ, то отвечают оперативно)

Melanxolik Вампиреныш

Melanxolik

Опубліковано:
Опубліковано:

iptables в руки, делайте для клиентов морды и позвольте им добавлять в rule, отслеживайте кол коннектов, порубайте непонятный трафик в сторону клиентов, это не сложно, дальше по ситуации.

Незабывайте что из вне просто так пакеты не приходят,  а вот из внутри они вполне могут исходить, так что правила должны быть направлены в сторону внешнего трафика.

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

Ну не знаю может поможет http://wiki.mikrotik.com/wiki/DoS_attack_protection

Этот раздел изучен уже давно, но в любом случае спасибо за ссылку, эти алгоритмы практически картину не  меняют.

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

немного может помочь порт скан

микротик "тяжко" обрабатывает пакеты на себя, все, что найдет порт скан dnat кидайте в никуда (левый адрес)

Дело в том, что порты у микротика все закрыты, кроме wbx,

 

а какие именно пакеты лучше заворачивать на левак ?

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

 

 

нет, "долбят не косоокие", атакующие айпишники из Германии.

Пробить по хуизу и написать на абьюс(если это сервера в ДЦ, то отвечают оперативно)

 

 

Это вариант конечно же, но кол-во атакующих хостов растет и все время новые подсети.

Виктор Николаевич Вампиреныш

Виктор Николаевич

Опубліковано:
  • Автор
Опубліковано:

С постов понял, что атакуют айпишник NATа, а он просто по совместительству оказался микротиком? Причем атака малюсенькая, т.к. все успешно роутится машинкой на FreeBSD на этот микротик. Так?

 

Тогда может хватить простых правил ipfw, но стоит готовиться, что атака может продолжиться с большей силой и машинка на freebsd тоже умрет.

 

а какой порядок цен хоть примерно за такие услуги?

От бесплатно до сколько смогут стянуть. Цены отличаются на пять порядков.

 

Верно, сама Фрюха отдает реальные айпишники корпоративщикам, а у них уже стоят микротики и они натят на свои внутрисети предприятий.

 

При текущей DDoS, микроты затыкаются в 100% загрузку проца относительно при небольшом трафике, но большом кол-ве мелких пакетов. 

  • 1 month later...
ttttt Дракон

ttttt

Опубліковано:
Опубліковано:

Что-то ваш совет подозрительно некропостерски что-попальный. Особенно про устарелость файрволов.

loki Вампир

loki

Опубліковано:
Опубліковано: (відредаговано)

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

 

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

 

От  sync-flood-а -  synproxy. Обычно sync-floodят спуфнутыми айпишниками. От UDP флуда - фильтры + блэкхол.

Відредаговано loki
Sub-Zero Точу Зубы

Sub-Zero

Опубліковано:
Опубліковано:

Фильтровать или блокировать можно и нужно если ширина Вашего входящего канала больше DDOS потока, а иначе Вам забьют входящий и Вы будете нервно курить. Помогает забросить атакуемый адрес в нулроут. А вообще нужно обратиться к специалистам - рекомендую форум серч, ветка хостинг.

pavlabor Бог

pavlabor

Опубліковано:
Опубліковано:

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

 

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

NAT, включен?

serjio21 Точу Зубы

serjio21

Опубліковано:
Опубліковано:

На FreBSD нормально справится с DDoS только  Packet Filter , он же PF :)  все остальное уже устаревшее  ;)

 

block in quick proto tcp from <ddos>  label "Fuck DDOSers" probability 65%

 

http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html

 

Шикардосное утверждение. Производительность PF особенно радует :) Ну да ладно.

 

Ограничить вредные пакеты по полосе (tcpdump + tcpoptions для анализа и реализации).

Можно и по совету цитируемого в очередь по destination (микротики) plr loss_probability потерять какое-то количество, можно дропнуть

 

Только я чет не понял, у вас в сетке одни микротики ? Остальные абоны как себя чувствуют ? И фря при этом нормально себя чувствует, чет слабенький ддос.... :) Ддос всю полосу во внешних каналах съедает ?

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем
×
×
  • Створити нове...