DDoS на Mikrotik

[Mess]

 

Сомневаюсь что микротик это сможет, проца не хватит, рубите на вышестоящем оборудовании.

 

ок.

а хоть примерно, по какому принципу фильтровать от DDos?

Похоже что алгоритм атак они меняют через 1-2 суток.

 

кроме syn/udp там еще добавилась атака мелкими пакетами почти по всем портам.

 

 

Запросите у провайдера Блекхолл сервер.

[Виктор Николаевич]

Фильтровать или блокировать можно и нужно если ширина Вашего входящего канала больше DDOS потока, а иначе Вам забьют входящий и Вы будете нервно курить. Помогает забросить атакуемый адрес в нулроут. А вообще нужно обратиться к специалистам - рекомендую форум серч, ветка хостинг.

+1

 

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

 

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

 

От  sync-flood-а -  synproxy. Обычно sync-floodят спуфнутыми айпишниками. От UDP флуда - фильтры + блэкхол.

 

+1

 

Потушили DDOS почти месяц назад по цепочке, заодно по случаю и проапгрейдили основной узел.

Відредаговано 2 січня, 2015 Виктор Николаевич

[Виктор Николаевич]

 

На FreBSD нормально справится с DDoS только  Packet Filter , он же PF   все остальное уже устаревшее 

 

block in quick proto tcp from <ddos>  label "Fuck DDOSers" probability 65%

 

http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html

 

Шикардосное утверждение. Производительность PF особенно радует Ну да ладно.

 

Ограничить вредные пакеты по полосе (tcpdump + tcpoptions для анализа и реализации).

Можно и по совету цитируемого в очередь по destination (микротики) plr loss_probability потерять какое-то количество, можно дропнуть

 

Только я чет не понял, у вас в сетке одни микротики ? Остальные абоны как себя чувствуют ? И фря при этом нормально себя чувствует, чет слабенький ддос.... Ддос всю полосу во внешних каналах съедает ?

 

 

Бомбили одну подсеть, там где корпоративные клиенты, у которых стоят в качестве шлюзов микротики.

[Виктор Николаевич]

 

Конкурент решил заняться DDOS атаками на роутеры наших корпоративных клиентов, у которых стоят в качестве шлюза микротики (2011/450g).

 

Есть ли хоть какие-то варианты защиты/фильтрации, дающие положительный результат от такого рода атак ?

NAT, включен?

 

 

NAT не пользуем.

Відредаговано 2 січня, 2015 Виктор Николаевич

[ttttt]

рекомендую форум серч, ветка хостинг.

О, поглядываю в этот раздел регулярно. Уж кого-кого, а его по защите от ддоса совсем бы не советовал Там почти нет никого из информ. безопасности, зато полно продавцов, которые очень много обманывают, чтобы свои услуги парить, страшно много. Не поленюсь вспомнить тот мифическей бред, который запомнился за последние несколько лет:

"клаудфлейр вас не защитит на бесплатном тарифе, сразу отрубит"

"у OVH антиддос легко пробивается"

"OVH даже не отдетектит маленький флуд, а ваш сервер уже умрет"

"voxility вам тоже не поможет, заблэкхолит на большой атаке"

"вам обязательно нужна железка и каналов на миллион"

"и конечно же это Arbor, только Arbor"

"антиддос не может стоить дешево, потому что железка же на миллион!"

"защититься от http атак очень трудно"

"от SYN флуда тоже, потому и стоит так много много"

"мы не расскажем, как защищаем, потому что у нас очень крутая собственная защита"

"не-не, это не важно, что у наших аплинков нет и пары десятков свободных гигабит, все равно сможем, несите деньги!"

 

А по теме: защита хостингов с вами мало пересекается. Лень подробно описывать почему, но дешевый способ - только блэкхол, т.е. поговорите с аплинком заранее, предусмотрите, не откладывайте. В идеале, сконструируйте простенький детектор трафика/pps, чтобы блэкхолить сразу.

[loki]

Шикардосное утверждение. Производительность PF особенно радует Ну да ладно.

 

 

Сравните его производительность  10.1  фре.

[Melanxolik]

Ну да, на 10й он просто наконец стал многопоточным.