Перейти к содержимому
Калькуляторы

DDOS на роутер, защита Теория

Не много пытаюсь для себя разобраться в таком вопросе, а если прилетит маленький ДОС на роутер, что делать?

Ну от 1Г до 40Г летит пару раз в месяц, живем, справляемся, blackhole помогает, если все таки будет 40Г на роутер, как с таким тогда жить?

Отправлять один из IP машрутизатора в блэк как-то не совсем хорошо, у кого есть какие варианты борьбы с такой вот проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут есть вариант, чтобы закинуть пиринг сеть провайдера в блэкхол. Но это должен делать сам пров грамотно построив исключения. Во внешнем интернете эти айпи нафиг не нужны, вообще говоря. Можно попробовать попириться серыми айпи, хотя это атататк и так не надо делать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Атаки бывают разные.

При таких цыфрах это скорее атаки на канал, чем на роутер.

Можно на коммутаторе накидать ACL чтобы дропал трафк к выбранному IP, но это не сильно лучше блэкхола.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

 

При блэкхоле айпи роутера из пиринг сети ничего не изменится и не поломается. Этот айпи не нужен внешнему клиенту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перефразирую - ради какого-то клиента всю сеть валить обычным ддосерам не нужно, пока вы им повинуетесь блэкхолами клиентских IP.

 

А при атаке на инфраструктуру роутеры ж, наверное, втупую на их IP никто валить не будет. Поймут, что можно раз в минуту по очереди перебирать клиентские IP, которые за ними, например, или еще как-то. Но такого ж вроде в природе пока не встречается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем по теории понятно, по практике для себя сделаю пару тестов, суть задачи замочить не пиринг с апстримом, а гейт в клиентской сети, как раз для тестов есть пара свободных сетей и жирная труба с генерацией трафика, попробую.

 

Но другое смущает, по сути получается что закрыться особо не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте линк через "серые" ip, атаковать будет нечего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

1) Не считаю ддосеров идиотами.

2) Перебор не редкость многие годы? Ну зачем же выдумывать.

3) Смешались кони, люди. А ну ка, напомните, сколько сейчас атак на ISP, все еще не больше 5%, правда же? Не техническая сторона вопроса играет огромную роль. Если вы повинуетесь (блэкхолом) - вашу сеть ложить не появится смысла. Риск будет оставаться на уровне риска атаки всего ISP - т.е. низкий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте линк через "серые" ip, атаковать будет нечего

Вот сейчас могу нубом показаться, но почему все цепляются за bgp? это последние о чем я думаю, возьмите дос на гейт который прописан у клиентов в подсети, возможности менять гейт на всех серверах клиентов просто нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как раз тут смешались и люди и кони. Как можно атаковать шлюз внутри сети? Изнутри сети? Как раз шлюз можно легко реализовать на серых IP или жа не белых и поместить его в блэкхол, во внешнем мире он просто не нужен.

 

nuclearcat дело говорит, извне у вас торчит как раз Ваш шлюз на пиринге с оператором, все что за ним - может быть серым и недоступным для ддосеров в принципе. А если уломать оператора, то и стык будет недоступен. Тогда у ддосеров будет лишь 1 вариант - ддосить внешние айпи внутри сети, а их уже можно блэкхолить до посинения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.