Megas Опубликовано 26 октября, 2015 Не много пытаюсь для себя разобраться в таком вопросе, а если прилетит маленький ДОС на роутер, что делать? Ну от 1Г до 40Г летит пару раз в месяц, живем, справляемся, blackhole помогает, если все таки будет 40Г на роутер, как с таким тогда жить? Отправлять один из IP машрутизатора в блэк как-то не совсем хорошо, у кого есть какие варианты борьбы с такой вот проблемой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 26 октября, 2015 Тут есть вариант, чтобы закинуть пиринг сеть провайдера в блэкхол. Но это должен делать сам пров грамотно построив исключения. Во внешнем интернете эти айпи нафиг не нужны, вообще говоря. Можно попробовать попириться серыми айпи, хотя это атататк и так не надо делать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 26 октября, 2015 Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 октября, 2015 Атаки бывают разные. При таких цыфрах это скорее атаки на канал, чем на роутер. Можно на коммутаторе накидать ACL чтобы дропал трафк к выбранному IP, но это не сильно лучше блэкхола. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 26 октября, 2015 Ну и к тому же, блэкхол - это не защита, а повиновение, из разряда "давайте мы сами отключим клиента". Пока блэкхолы, угрозой атаки роутеров можно пренебречь. При блэкхоле айпи роутера из пиринг сети ничего не изменится и не поломается. Этот айпи не нужен внешнему клиенту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 26 октября, 2015 Перефразирую - ради какого-то клиента всю сеть валить обычным ддосерам не нужно, пока вы им повинуетесь блэкхолами клиентских IP. А при атаке на инфраструктуру роутеры ж, наверное, втупую на их IP никто валить не будет. Поймут, что можно раз в минуту по очереди перебирать клиентские IP, которые за ними, например, или еще как-то. Но такого ж вроде в природе пока не встречается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 27 октября, 2015 Вы ошибаетесь ровно трижды. 1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты 2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе 3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 27 октября, 2015 В общем по теории понятно, по практике для себя сделаю пару тестов, суть задачи замочить не пиринг с апстримом, а гейт в клиентской сети, как раз для тестов есть пара свободных сетей и жирная труба с генерацией трафика, попробую. Но другое смущает, по сути получается что закрыться особо не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 октября, 2015 Сделайте линк через "серые" ip, атаковать будет нечего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ttttt Опубликовано 27 октября, 2015 Вы ошибаетесь ровно трижды. 1) Не нужно считать ддосеров идиотами - с хорошим бюджетом они могут позволить и квалифицированных спецов и очень изощренные инструменты 2) Перебор всего диапазона при атаке - это, к сожалению, уже многие годы не редкость вовсе 3) Роутеры мочат. Нередко достается даже апстриму - мочат его стыки с атакуемым клиентом. 1) Не считаю ддосеров идиотами. 2) Перебор не редкость многие годы? Ну зачем же выдумывать. 3) Смешались кони, люди. А ну ка, напомните, сколько сейчас атак на ISP, все еще не больше 5%, правда же? Не техническая сторона вопроса играет огромную роль. Если вы повинуетесь (блэкхолом) - вашу сеть ложить не появится смысла. Риск будет оставаться на уровне риска атаки всего ISP - т.е. низкий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 октября, 2015 Сделайте линк через "серые" ip, атаковать будет нечего Вот сейчас могу нубом показаться, но почему все цепляются за bgp? это последние о чем я думаю, возьмите дос на гейт который прописан у клиентов в подсети, возможности менять гейт на всех серверах клиентов просто нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 28 октября, 2015 Вот как раз тут смешались и люди и кони. Как можно атаковать шлюз внутри сети? Изнутри сети? Как раз шлюз можно легко реализовать на серых IP или жа не белых и поместить его в блэкхол, во внешнем мире он просто не нужен. nuclearcat дело говорит, извне у вас торчит как раз Ваш шлюз на пиринге с оператором, все что за ним - может быть серым и недоступным для ддосеров в принципе. А если уломать оператора, то и стык будет недоступен. Тогда у ддосеров будет лишь 1 вариант - ддосить внешние айпи внутри сети, а их уже можно блэкхолить до посинения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...