Перейти до

как бороться с ddos?


Рекомендованные сообщения

 

 

Таки понимаю что дос просто детский...

 

Речь вообще не про ddos. Ответы исчерпывающие давно даны. 10 минут... два часа... Да хоть год - сколько хозяину ботнета оплатили, столько будет идти.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 123
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не помогут, только блекхол через аплинка.. Поэтому если не сталкивались с такой ситуацией - смысла советовать нет

Ссылка на сообщение
Поделиться на других сайтах

Обозвался тот который хоть раз с досом боролся. Люди которые читают эту тему знают о чем я говорю. Возможно быть и подтвердят

Ссылка на сообщение
Поделиться на других сайтах

2 md5 - у тебя проблема с восприятием ??  перечитай мой пост еще разок.

То о чем ты говоришь никак не повлияет на проблему ТС или удп ддос и тебе это говорили уже.

Ссылка на сообщение
Поделиться на других сайтах

возможно поможет прописать весь пул внешних адресов на НАСе так 

route add -net 123.34.56.0/24 127.0.0.1 -reject

в таком случае трафик на невыданные адреса будут reject'ится, а на выданные роутится, поскольку будет более детальный маршрут.

 

мне такое помогло когда были атаки на выданные адреса из пула для статик-НАТа.

Ссылка на сообщение
Поделиться на других сайтах
как бороться с ddos?

 

Находишь контору которая специализируется на защите от ddos, строишь к ним туннель и анонсируешь через них нужные подсети. Они за бабло борются за тебя, и пропускают тебе только нужный трафик.

Ссылка на сообщение
Поделиться на других сайтах

опять та же петрушка

 

попросил ЕТТ закинуть айпишку жертвы в блекхол

помогло

 

поливали DDoS'ом  конкретный адрес или подсеть ?

Ссылка на сообщение
Поделиться на других сайтах

конкретный адрес с разных айпишек

приплыло 200 тысяч upd пакетов в сек

Сколько канала съело ?

Ссылка на сообщение
Поделиться на других сайтах

Как то было дело давно.. Похожая ситуация была. Я нашел кому принадлежит данный айпи и написал письмо провайдеру. В течении часа получил от них о блокировки данного айпи.

Ну а Вам могу посоветовать, связаться с теми кто дает канал что бы устранили проблему, ну или пробуйте сами писать письмо провайдеру с которого идет флуд

Ссылка на сообщение
Поделиться на других сайтах

 

 

Как то было дело давно.. Похожая ситуация была. Я нашел кому принадлежит данный айпи и написал письмо провайдеру. В течении часа получил от них о блокировки данного айпи.

 

Тема про _D_dos. А не Вася обиделся на Петю и запустил флуд пинг. От ддос спасения нету. Вообще. Вот алгоритм работы среднего ботнета (ну допустим по 300 тысяч зомби девайсов - кофеварки, телики, роутеры, компы - все что подключено к сети).

Средняя скорость доступа у всех пусть будет 10 Мбит. Девайсы разбросаны по всему миру. В том числе и в Вашей сети.

Заказчик оплачивает хозяину ботнета неделю ддоса. По команде каждый зараженый девайс начинает штормить диапазон указанных IP. Если возможет спуфинг (проверка такая производится) - спуфит, если нет - просто флудит. Размер пакета - динамический, наполнение - динамическое. Полоса - 40-60% от возможной, динамика - абы визуально не вычислили.

Теперь представь что тебе со всех дыр идет поток мусора. Критерий один - он по udp. Больше привязаться не к чему.

Давай, защищайся. Да, аплинки твои тоже уже умерли.

Ссылка на сообщение
Поделиться на других сайтах

 

конкретный адрес с разных айпишек

приплыло 200 тысяч upd пакетов в сек

Сколько канала съело ?

 

график rrd успел отрисовать левака на 500 мбит

но я думаю приплыло на самом деле больше

я среагировал очень быстро, атака была в чнн

 

в итоге я так понял единственное действенное решение

в такой ситуации только использование Routing Blackhole (Null-route)

Ссылка на сообщение
Поделиться на других сайтах

 

Как то было дело давно.. Похожая ситуация была. Я нашел кому принадлежит данный айпи и написал письмо провайдеру. В течении часа получил от них о блокировки данного айпи.

 

Тема про _D_dos. А не Вася обиделся на Петю и запустил флуд пинг. От ддос спасения нету. Вообще. Вот алгоритм работы среднего ботнета (ну допустим по 300 тысяч зомби девайсов - кофеварки, телики, роутеры, компы - все что подключено к сети).

Средняя скорость доступа у всех пусть будет 10 Мбит. Девайсы разбросаны по всему миру. В том числе и в Вашей сети.

Заказчик оплачивает хозяину ботнета неделю ддоса. По команде каждый зараженый девайс начинает штормить диапазон указанных IP. Если возможет спуфинг (проверка такая производится) - спуфит, если нет - просто флудит. Размер пакета - динамический, наполнение - динамическое. Полоса - 40-60% от возможной, динамика - абы визуально не вычислили.

Теперь представь что тебе со всех дыр идет поток мусора. Критерий один - он по udp. Больше привязаться не к чему.

Давай, защищайся. Да, аплинки твои тоже уже умерли.

 

К этому еще можно добавить один пункт DDoSa, что при использовании жертвой другого блока айпишников - DDoS начинает литься уже на новый диапазон адресов жертвы через 2-2,5 часа. Так будет намного интереснее и актуальнее на сегодня. В моем случае, на наши адреса был именно такой вид атаки DDoS.

Відредаговано Виктор Николаевич
Ссылка на сообщение
Поделиться на других сайтах

 

 

конкретный адрес с разных айпишек

приплыло 200 тысяч upd пакетов в сек

Сколько канала съело ?

 

график rrd успел отрисовать левака на 500 мбит

но я думаю приплыло на самом деле больше

я среагировал очень быстро, атака была в чнн

 

в итоге я так понял единственное действенное решение

в такой ситуации только использование Routing Blackhole (Null-route)

 

 

+ к этому Blackholе должен передаваться по цепочке аплинков вверх.

Ссылка на сообщение
Поделиться на других сайтах

 

 

+ к этому Blackholе должен передаваться по цепочке аплинков вверх.

 

Если атака действительно серьезная - бывает аплинки блекхолят раньше чем админы собственно сети которую атакуют. Хорошо если атакуют действительно конкретного клиента а не всю сеть.

Ссылка на сообщение
Поделиться на других сайтах

 

+ к этому Blackholе должен передаваться по цепочке аплинков вверх.

 

Если атака действительно серьезная - бывает аплинки блекхолят раньше чем админы собственно сети которую атакуют. Хорошо если атакуют действительно конкретного клиента а не всю сеть.

 

Это верно, хорошо если конкретного клиента атакуют, но если всю сеть - то это уже серьезно.

 

У нас такие методы пользует один обезбашенный на всю голову конкурент, DDoS'ит всю сеть, потом бегает пытается обосрать нас и переманить абонов.

 

Ребята, как думаете, какое наказание такому человеку нужно за это ?! 

Відредаговано Виктор Николаевич
Ссылка на сообщение
Поделиться на других сайтах

Хорошо если атакуют действительно конкретного клиента а не всю сеть.

Ну тогда я вас обрадую, такие хорошие атаки только и случаются, а на всю сеть - нет :)
Ссылка на сообщение
Поделиться на других сайтах

 

 

Ну тогда я вас обрадую, такие хорошие атаки только и случаются, а на всю сеть - нет

 

Да, у нас только такие (тьфу-тьфу) и происходили. Но жесткие. Беглый анализ дампов netflow подтверждал что разброс src-ip/port такой что что-то там по src пытаться фильтровать на аплинке бессмысленно.

Ссылка на сообщение
Поделиться на других сайтах

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

Ссылка на сообщение
Поделиться на других сайтах

 

Хорошо если атакуют действительно конкретного клиента а не всю сеть.

Ну тогда я вас обрадую, такие хорошие атаки только и случаются, а на всю сеть - нет :)

 

Вам везет, если атаки только на конкретного клиента, а не на всю сеть.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Від freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Створити нове...