[Megas]

Не много пытаюсь для себя разобраться в таком вопросе, а если прилетит маленький ДОС на роутер, что делать?

Ну от 1Г до 40Г летит пару раз в месяц, живем, справляемся, blackhole помогает, если все таки будет 40Г на роутер, как с таким тогда жить?

Отправлять один из IP машрутизатора в блэк как-то не совсем хорошо, у кого есть какие варианты борьбы с такой вот проблемой?

[pavel.odintsov]

Тут есть вариант, чтобы закинуть пиринг сеть провайдера в блэкхол. Но это должен делать сам пров грамотно построив исключения. Во внешнем интернете эти айпи нафиг не нужны, вообще говоря. Можно попробовать попириться серыми айпи, хотя это атататк и так не надо делать :)

[ttttt]

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

[Ivan_83]

Атаки бывают разные.

При таких цыфрах это скорее атаки на канал, чем на роутер.

Можно на коммутаторе накидать ACL чтобы дропал трафк к выбранному IP, но это не сильно лучше блэкхола.

[pavel.odintsov]

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

 

При блэкхоле айпи роутера из пиринг сети ничего не изменится и не поломается. Этот айпи не нужен внешнему клиенту.

[ttttt]

Перефразирую - ради какого-то клиента всю сеть валить обычным ддосерам не нужно, пока вы им повинуетесь блэкхолами клиентских IP.

 

А при атаке на инфраструктуру роутеры ж, наверное, втупую на их IP никто валить не будет. Поймут, что можно раз в минуту по очереди перебирать клиентские IP, которые за ними, например, или еще как-то. Но такого ж вроде в природе пока не встречается.

[pavel.odintsov]

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

[Megas]

В общем по теории понятно, по практике для себя сделаю пару тестов, суть задачи замочить не пиринг с апстримом, а гейт в клиентской сети, как раз для тестов есть пара свободных сетей и жирная труба с генерацией трафика, попробую.

 

Но другое смущает, по сути получается что закрыться особо не получится.

[nuclearcat]

Сделайте линк через "серые" ip, атаковать будет нечего

[ttttt]

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

1) Не считаю ддосеров идиотами.

2) Перебор не редкость многие годы? Ну зачем же выдумывать.

3) Смешались кони, люди. А ну ка, напомните, сколько сейчас атак на ISP, все еще не больше 5%, правда же? Не техническая сторона вопроса играет огромную роль. Если вы повинуетесь (блэкхолом) - вашу сеть ложить не появится смысла. Риск будет оставаться на уровне риска атаки всего ISP - т.е. низкий.

[Megas]

Сделайте линк через "серые" ip, атаковать будет нечего

Вот сейчас могу нубом показаться, но почему все цепляются за bgp? это последние о чем я думаю, возьмите дос на гейт который прописан у клиентов в подсети, возможности менять гейт на всех серверах клиентов просто нету.

[pavel.odintsov]

Вот как раз тут смешались и люди и кони. Как можно атаковать шлюз внутри сети? Изнутри сети? Как раз шлюз можно легко реализовать на серых IP или жа не белых и поместить его в блэкхол, во внешнем мире он просто не нужен.

 

nuclearcat дело говорит, извне у вас торчит как раз Ваш шлюз на пиринге с оператором, все что за ним - может быть серым и недоступным для ддосеров в принципе. А если уломать оператора, то и стык будет недоступен. Тогда у ддосеров будет лишь 1 вариант - ддосить внешние айпи внутри сети, а их уже можно блэкхолить до посинения.