Перейти до

как бороться с ddos?


Рекомендованные сообщения

 

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Кстати вполне возможный вариант что вы флудите сами себя, смотрели, трафик кругами не бегает от бордера к насу?

 

такое тоже присутствует

как лечить?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 123
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Коллега, Вы в курсе чем UDP от TCP отличается?

Ссылка на сообщение
Поделиться на других сайтах

Дык блекхолить у себя. Лучше на бордере, но если исторически у вас там статикой маршруты раскиданы - на НАСах.

Все ваши сети должны быть по умолчанию отправлены в null, при поднятии сессии появится /32 и побежит трафик.

А сейчас вы безобидный внешний трафик 100 раз гоняете внутри сети, вероятно и ДОСа нет.

 

Если вы нигде в сети не блекхолите ситуация выглядит так:

1)трафик на IP 1.1.1.1 прилетает на бордер, там маршрут для этого IP на НАС1

2)на НАС1 маршрута на этот IP нет, а дефолт указан на бордер, трафик улетает обратно

3)повторить пункты 1,2 до умирания ttl.

Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах

 

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

НАСРАТЬ на то, что не выдан! Учите матчасть! Для UDP протокола не обязательно, чтоб адрес был доступен! У вас идет классический UDP-флуд!

 

Любому трафику это не обязательно, разве что UDP проще нагенерить.
Ссылка на сообщение
Поделиться на других сайтах

Зарезать порт не выход! Вообще зарезать что-либо не выход! Хоронить трафик у себя, даже в блэкхол - НЕ ВЫХОД! Блэкхол надо отдавать! Толку с блэкхола, если канал забит один хрен, а вы принимаете трэш и хороните его на своей территории?

Ссылка на сообщение
Поделиться на других сайтах

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

 

В том то и дело, что это UDP-флуд, UDP не нужно устанавливать соединение перед отправкой. И не важно доступен адрес, или нет.  Потому фильтруйте его на границе с аплинком, или просите аплинка о блэкхоле. 

Ссылка на сообщение
Поделиться на других сайтах

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера.

 

 

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =)))

 

Чтобы ддос-трэш не дошел до таргета

 

 

Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий.

 

1. Я исправил свой пост.

2. Блэкхол - это Л3-операция. ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры. А ACL входящего трафа на порту - это дешевейшая Л2-операция в асике на порту. Так что самая лучшая фильтрация - это дэни-ацл на входе.

Ссылка на сообщение
Поделиться на других сайтах

 

 

ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры.
 

 

При анонсе в блекхол апстрима ничего через твой роутер не гонится, никакого треша. В этом-то и есть прелесть блэкхола.

Ссылка на сообщение
Поделиться на других сайтах

2. Блэкхол - это Л3-операция. ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры. А ACL входящего трафа на порту - это дешевейшая Л2-операция в асике на порту. Так что самая лучшая фильтрация - это дэни-ацл на входе.

Есть одно НО. Маршрутизация в null - стандартная операция для борьбы с ненужным трафиком. У любого магистрала описаны комьюниити для самостоятельного управления этими блекхолами.

А кто вам будет по запросу правила строить - хз.

Ссылка на сообщение
Поделиться на других сайтах

пустые разговоры...

раз на то пошло, крутить sysctl и зарезать либо на машине а лучше на железяке

Вот Ваш ответ - как раз таки и пустой. syctl не поможет. 

Ссылка на сообщение
Поделиться на других сайтах

Зарезать порт не выход! Вообще зарезать что-либо не выход! Хоронить трафик у себя, даже в блэкхол - НЕ ВЫХОД! Блэкхол надо отдавать! Толку с блэкхола, если канал забит один хрен, а вы принимаете трэш и хороните его на своей территории?

У меня на каждом из аплинков стыки 10Г, а покупаются реальные полосы 2-4Г. При этом есть договоренность, что ни один из аплинков не шейпит и не полисит каналы. Просто если мы начинаем перебирать лимиты по полосе регулярно, то аплинк начнет переговоры о повышении платежа. То есть, мы спокойно можем принять ддос в пределах 6Г на любом из аплинков и спокойно убить его ацл на входе бордера. Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.

Ссылка на сообщение
Поделиться на других сайтах

 

 

1. Я исправил свой пост. 2. Блэкхол - это Л3-операция. ЭТО ДОРОГО для любого роутера, ибо это гонит трэшевый траф через роут-процессоры. А ACL входящего трафа на порту - это дешевейшая Л2-операция в асике на порту. Так что самая лучшая фильтрация - это дэни-ацл на входе.
 

 

:facepalm:  

Ссылка на сообщение
Поделиться на других сайтах

 

 

Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.
 

Какие-то у вас ддосеры неправильные. Давно я не слышал об атаках в 1-2...6Г. 20-30Г - сталкивался, а вот с мелкими нет... Да еще и 6Г в течении 3-4 дней... Не знаю... Лучше бы тот ддосер мне отдал деньги, которые он за 3-4 дня ддоса получает...

Ссылка на сообщение
Поделиться на других сайтах

 

пустые разговоры...

раз на то пошло, крутить sysctl и зарезать либо на машине а лучше на железяке

Вот Ваш ответ - как раз таки и пустой. syctl не поможет. 

 

 

Вот как раз и не пустые. Правильная настройка sysctl при генерации трафика досером и при зарезании порта у тебя будет только трафик на входе повышаться. а нагрузки на серваке или насе что там стоит и не заметишь

Ссылка на сообщение
Поделиться на других сайтах

 

 

нагрузки на серваке или насе что там стоит и не заметишь
 

Возможно. Но если канал 1Г, и ддос идет в 1Г, то через что тогда пользователи ходить будут?

 

Ну да ладно.

Если ддос идет из одной АС, а в описанном случае, АС московская, то что стоит позвонить в Москву и попросить провайдера разобраться с ситуацией?

Ссылка на сообщение
Поделиться на других сайтах

to md5

 

Уже озвучили, блекхол, или ACL на границе. Какие нафиг sysctl ? Может озвучите пару примерчиков

 
П.С net.inet.udp.blackhole=1 -> вот эта крутилка относиться к хосту назначения, роутер причем ?
Відредаговано loki
Ссылка на сообщение
Поделиться на других сайтах

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Посмотри сколько времени прошло с освобождения адреса.

Ссылка на сообщение
Поделиться на других сайтах

 

Обычно, через 3-4 дня ддосер, видя полное отсутствие результата своих усилий, сваливает.
 

Какие-то у вас ддосеры неправильные. Давно я не слышал об атаках в 1-2...6Г. 20-30Г - сталкивался, а вот с мелкими нет... Да еще и 6Г в течении 3-4 дней... Не знаю... Лучше бы тот ддосер мне отдал деньги, которые он за 3-4 дня ддоса получает...

 

Может причина в том, что Вы хостер? Кому надо ддосить 30-ю Г адреса домоюзеров? - разве что в виде отладки бот-нета или просто поприкалываться. В этой стране чтобы завалить хостинг заказывают ддос у хакеров, а чтобы завалить провайдера заказывают ддос у людей с погонами.

Ссылка на сообщение
Поделиться на других сайтах

 

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Посмотри сколько времени прошло с освобождения адреса.

 

адрес был выдан сегодня трем разным пользователям

 

дата             время     время_аренды   передано получено

2015-01-18 17:45:12 00:07:17 2.32 Kb 6.28 Kb
2015-01-18 17:04:12 00:03:34 543.66 Kb 370.21 Kb
2015-01-18 08:31:59 07:05:13 206.03 MB 11.30 GB
Ссылка на сообщение
Поделиться на других сайтах
адрес был выдан сегодня трем разным пользователям

 

 

Да забейте вы на адрес, который выдавался юзерам. В 90% случаев это ддос одних геймеров на других. Какие-то геймеры что-то не поделили, и теперь включили hping, или тому подобное на широком канале, с быстрым процессором.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Від freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Створити нове...