The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"способы борьбы с DOS атаками?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"способы борьбы с DOS атаками?"  +/
Сообщение от merko email(??) on 11-Ноя-09, 06:54 
Доброго времени суток!
Интересуют способы борьбы с DOS-атаками, как на уровне клиента так и на уровне провайдера?
Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов, с разных стран) на конкретный адрес и порт. Т.е. явно организованная атака.
Даже если закрыть доступ на этот адрес, то все равно канал забит на 100%.
Как с этим бороться, может у кого-нибудь есть подобный опыт?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "способы борьбы с DOS атаками?"  +/
Сообщение от zaikini (ok) on 11-Ноя-09, 09:44 
>Доброго времени суток!
>Интересуют способы борьбы с DOS-атаками, как на уровне клиента так и на
>уровне провайдера?
>Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов,
>с разных стран) на конкретный адрес и порт. Т.е. явно организованная
>атака.
>Даже если закрыть доступ на этот адрес, то все равно канал забит
>на 100%.
>Как с этим бороться, может у кого-нибудь есть подобный опыт?

Отключить этот адрес на который происходит атака, сменить адрес и включить обратно, если атака продолжится проблема во владельце адреса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "способы борьбы с DOS атаками?"  +/
Сообщение от merko email(??) on 11-Ноя-09, 11:29 
>[оверквотинг удален]
>>уровне провайдера?
>>Ситуация такая: Прёт большой входящий трафик с интернета (с сотни разных адресов,
>>с разных стран) на конкретный адрес и порт. Т.е. явно организованная
>>атака.
>>Даже если закрыть доступ на этот адрес, то все равно канал забит
>>на 100%.
>>Как с этим бороться, может у кого-нибудь есть подобный опыт?
>
>Отключить этот адрес на который происходит атака, сменить адрес и включить обратно,
>если атака продолжится проблема во владельце адреса.

Отключать и менять адрес не хотелось бы, т.к. на этот адрес обращаются сотни клиентов...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "способы борьбы с DOS атаками?"  +/
Сообщение от Myxa (??) on 11-Ноя-09, 12:34 
>Отключать и менять адрес не хотелось бы, т.к. на этот адрес обращаются
>сотни клиентов...

ips вполне справится

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "способы борьбы с DOS атаками?"  +/
Сообщение от valentine31 (ok) on 11-Ноя-09, 13:45 
Пообщайтесь с провайдером на тему access-list, поскольку все решения не эффективны в силу того что канал у вас будет все равно забит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "способы борьбы с DOS атаками?"  +/
Сообщение от Николай (??) on 11-Ноя-09, 14:30 
>Пообщайтесь с провайдером на тему access-list, поскольку все решения не эффективны в
>силу того что канал у вас будет все равно забит.

Ответы просто сказка и ни одного по делу. Что такое DOS атака генерация множества полуоткрытых сессий - следовательно есть 2 варианта можно резать по числу полуоткрытых сессий (но сей метод не есть еффективный поскольку "правильный" клиент не сможет приконектиться если порог уже достигнут), гараздо эффективнее установить время жизни такого полуоткрытого соединения (подбирай имперически, тогда такие сессии не будут долго висеть и портить Вам жизнь) делается это если память не подводит с помощью механизма CBAC у Cisco или же, если сервис крутиться на никсах, в sysctl.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "способы борьбы с DOS атаками?"  +/
Сообщение от valentine31 (ok) on 11-Ноя-09, 16:03 
Начнем с того что никто не говорил про TCP. Это может быть так же ICMP и/или UDP флуд. На месте клиента при хорошой DOS атаке защиты увы нет, канал занят. Это не сказка :-))...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "способы борьбы с DOS атаками?"  +/
Сообщение от merko2005yandex.ru on 11-Ноя-09, 16:46 
>Начнем с того что никто не говорил про TCP. Это может быть
>так же ICMP и/или UDP флуд. На месте клиента при хорошой
>DOS атаке защиты увы нет, канал занят. Это не сказка :-))...
>

К сожалению, наверно так и есть...)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "способы борьбы с DOS атаками?"  +/
Сообщение от merko2005yandex.ru on 11-Ноя-09, 16:45 
>Ответы просто сказка и ни одного по делу. Что такое DOS атака
>генерация множества полуоткрытых сессий - следовательно есть 2 варианта можно резать
>по числу полуоткрытых сессий (но сей метод не есть еффективный поскольку
>"правильный" клиент не сможет приконектиться если порог уже достигнут), гараздо эффективнее
>установить время жизни такого полуоткрытого соединения (подбирай имперически, тогда такие сессии
>не будут долго висеть и портить Вам жизнь) делается это если
>память не подводит с помощью механизма CBAC у Cisco или же,
>если сервис крутиться на никсах, в sysctl.

Все замечательно, но после истечения времени жизни полуоткрытых сессий и их сброса, тут же будут появляться новые полуоткрытые сессии? Т.е. получится вечная борьба и канал как был загружен так и будет, только еще больше нагрузим циску.
Это я так думаю. Если я не прав, то прошу поправить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "способы борьбы с DOS атаками?"  +/
Сообщение от zaikini (ok) on 11-Ноя-09, 16:53 
Думаю надо сначала выявить признаки атаки, размер пакета, порт назначения и если хорошие отношения с провайдером попросить фильтровать исходящий трафик к вам по этим признакам, но это если у провайдера есть ресурсы для этого.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "способы борьбы с DOS атаками?"  +/
Сообщение от next333 (ok) on 12-Ноя-09, 09:32 
>Думаю надо сначала выявить признаки атаки, размер пакета, порт назначения и если
>хорошие отношения с провайдером попросить фильтровать исходящий трафик к вам по
>этим признакам, но это если у провайдера есть ресурсы для этого.
>

Согласен... считаю, проблему можно решить только через провайдера, т.к. проблема именно в забитом канале

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "способы борьбы с DOS атаками?"  +/
Сообщение от merko email(??) on 12-Ноя-09, 09:53 
Как думаете, сколько может стоить такая услуга провайдера?

Мы уже связались с провайдером и переговорили по поводу защиты с их стороны. Они сказали что могут это сделать, но у них нет такой услуги. Поэтому они сейчас думают по какой цене продавать нам эту услугу...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "способы борьбы с DOS атаками?"  +/
Сообщение от zaikini (ok) on 12-Ноя-09, 10:12 
>Как думаете, сколько может стоить такая услуга провайдера?
>
>Мы уже связались с провайдером и переговорили по поводу защиты с их
>стороны. Они сказали что могут это сделать, но у них нет
>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>эту услугу...

Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос как вы будете контролировать предоставление этой услуги, вы же не будете "видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это же трафик к вам, вы за него платите, так что на мой взгляд обсуждение цены со стороны провайдера не уместно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "способы борьбы с DOS атаками?"  +/
Сообщение от GolDi (??) on 12-Ноя-09, 10:22 
>[оверквотинг удален]
>>Мы уже связались с провайдером и переговорили по поводу защиты с их
>>стороны. Они сказали что могут это сделать, но у них нет
>>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>>эту услугу...
>
>Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос
>как вы будете контролировать предоставление этой услуги, вы же не будете
>"видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это
>же трафик к вам, вы за него платите, так что на
>мой взгляд обсуждение цены со стороны провайдера не уместно.

Может сам пров и флудит :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "способы борьбы с DOS атаками?"  +/
Сообщение от НубскийМен on 21-Дек-09, 17:25 
>[оверквотинг удален]
>>>такой услуги. Поэтому они сейчас думают по какой цене продавать нам
>>>эту услугу...
>>
>>Скажите, что другой провайдер готов предоставить бесплатно цена вопроса сразу уменьшится. Вопрос
>>как вы будете контролировать предоставление этой услуги, вы же не будете
>>"видеть" эти атаки? Плюс еще момент, провайдеру выгодны такие атаки, это
>>же трафик к вам, вы за него платите, так что на
>>мой взгляд обсуждение цены со стороны провайдера не уместно.
>
>Может сам пров и флудит :)

Хммм.. Угу. Точно также, когда клиент просит отчет о трафике за день и получает несколько мегабайт в преобразованном формате нетфлоу и вопрошает: "Как так может быть?? Вы наверное сами его сгенерировали?".
Угу. Сами. Сидели и неделями формировали отчет. Угу....
Могу заявить - мы отслеживаем и прикрываем участников DDOS атак, если просит пострадавшая сторона.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "способы борьбы с DOS атаками?"  +/
Сообщение от dae (ok) on 21-Дек-09, 18:54 
>Хммм.. Угу. Точно также, когда клиент просит отчет о трафике за день
>и получает несколько мегабайт в преобразованном формате нетфлоу и вопрошает: "Как
>так может быть?? Вы наверное сами его сгенерировали?".
>Угу. Сами. Сидели и неделями формировали отчет. Угу....
>Могу заявить - мы отслеживаем и прикрываем участников DDOS атак, если просит
>пострадавшая сторона.

Интересно, а что на хосте клиента крутится? Публичный сервак? Куда все ломятся
Маленьким клиентам надо переходить на анлим каналы и выключать все компы на ночь.
А провайдеры уже давно включают в договор пункт, что спам трафик к клиенту (его публичному адресу) оплачивается клиентом.
Вроде есть софтовые файерволы, которые подсасывают общую базу спам адресов и блокируют их. Спросите про такое у прова

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру