Jump to content

DDOS на роутер, защита

Megas
 Share

Recommended Posts

Megas

Megas

Posted
Posted

Не много пытаюсь для себя разобраться в таком вопросе, а если прилетит маленький ДОС на роутер, что делать?

Ну от 1Г до 40Г летит пару раз в месяц, живем, справляемся, blackhole помогает, если все таки будет 40Г на роутер, как с таким тогда жить?

Отправлять один из IP машрутизатора в блэк как-то не совсем хорошо, у кого есть какие варианты борьбы с такой вот проблемой?

pavel.odintsov

pavel.odintsov

Posted
Posted

Тут есть вариант, чтобы закинуть пиринг сеть провайдера в блэкхол. Но это должен делать сам пров грамотно построив исключения. Во внешнем интернете эти айпи нафиг не нужны, вообще говоря. Можно попробовать попириться серыми айпи, хотя это атататк и так не надо делать :)

ttttt

ttttt

Posted
Posted

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

Ivan_83

Ivan_83

Posted
Posted

Атаки бывают разные.

При таких цыфрах это скорее атаки на канал, чем на роутер.

Можно на коммутаторе накидать ACL чтобы дропал трафк к выбранному IP, но это не сильно лучше блэкхола.

pavel.odintsov

pavel.odintsov

Posted
Posted

Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь.

 

При блэкхоле айпи роутера из пиринг сети ничего не изменится и не поломается. Этот айпи не нужен внешнему клиенту.

ttttt

ttttt

Posted
Posted

Перефразирую - ради какого-то клиента всю сеть валить обычным ддосерам не нужно, пока вы им повинуетесь блэкхолами клиентских IP.

 

А при атаке на инфраструктуру роутеры ж, наверное, втупую на их IP никто валить не будет. Поймут, что можно раз в минуту по очереди перебирать клиентские IP, которые за ними, например, или еще как-то. Но такого ж вроде в природе пока не встречается.

pavel.odintsov

pavel.odintsov

Posted
Posted

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

Megas

Megas

Posted
  • Author
Posted

В общем по теории понятно, по практике для себя сделаю пару тестов, суть задачи замочить не пиринг с апстримом, а гейт в клиентской сети, как раз для тестов есть пара свободных сетей и жирная труба с генерацией трафика, попробую.

 

Но другое смущает, по сути получается что закрыться особо не получится.

ttttt

ttttt

Posted
Posted

Вы ошибаетесь ровно трижды.

 

1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты

2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе

3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом.

1) Не считаю ддосеров идиотами.

2) Перебор не редкость многие годы? Ну зачем же выдумывать.

3) Смешались кони, люди. А ну ка, напомните, сколько сейчас атак на ISP, все еще не больше 5%, правда же? Не техническая сторона вопроса играет огромную роль. Если вы повинуетесь (блэкхолом) - вашу сеть ложить не появится смысла. Риск будет оставаться на уровне риска атаки всего ISP - т.е. низкий.

Megas

Megas

Posted
  • Author
Posted

Сделайте линк через "серые" ip, атаковать будет нечего

Вот сейчас могу нубом показаться, но почему все цепляются за bgp? это последние о чем я думаю, возьмите дос на гейт который прописан у клиентов в подсети, возможности менять гейт на всех серверах клиентов просто нету.

pavel.odintsov

pavel.odintsov

Posted
Posted

Вот как раз тут смешались и люди и кони. Как можно атаковать шлюз внутри сети? Изнутри сети? Как раз шлюз можно легко реализовать на серых IP или жа не белых и поместить его в блэкхол, во внешнем мире он просто не нужен.

 

nuclearcat дело говорит, извне у вас торчит как раз Ваш шлюз на пиринге с оператором, все что за ним - может быть серым и недоступным для ддосеров в принципе. А если уломать оператора, то и стык будет недоступен. Тогда у ддосеров будет лишь 1 вариант - ддосить внешние айпи внутри сети, а их уже можно блэкхолить до посинения.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.