[ayf]

Коллеги, добрый день.
Сталкивались ли вы, как провайдеры, с задачей защиты какого-либо сервера, стоящего у клиента от ДДОС?
Первый раз получил такой запрос. Читаю всяческие пособия, но они все рассчитаны на администратов того сервера, который надо защищать. В стиле: iptables  и .т.п.
А вот что делать провайдеру в таком случае? Может кто поделится информацией?
Я так понимаю, что просто заворот трафика в blackhol приведет к такой же недоступности сервера, как и в результате атаки.
 

[Totoshka]

Насколько помню некоторые DDoS защитнички как раз предлагают решения защиты в рамках сетей ISP, вам наверно с ними будет лучше пообщаться.

 

[uk2558]

Выделяете отдельную подсеть под таких клиентов, поднимаете ещё один роутер между своим бордером и клиентской машиной, и вот на нём уже фильтруете трафик.

Edited May 8, 2018 by uk2558

[MrNv]

так DDOS же разный бывает

вот нас недавно DDOS'или трафиком больше 20Gbps, тут ни какой iptables не справится, только blackhole

а так у СКАТ'а есть защита от DDOS

[alibek]

Против лома нет приема.

Если DDoS серьезный, то спасет только толстый канал.

Если входящий канал выдерживает DDoS, то уже за ним трафик можно фильтровать или резать, чтобы защитить клиента.

[Ivan_83]

3 часа назад, ayf сказал:

А вот что делать провайдеру в таком случае? Может кто поделится информацией?

Обратится к специалисту.

Тут где то был один специализирующийся только на этом.

 

Сам ты сделать, кроме траты времени, ничего не сможешь против атакующего умнее скрипткиди.

Сегодня они досят UDP, ты его отобъёшь ACL на коммутаторе.

Завтра они будут досить синфлудом, ну может ты там PF или ещё чего замутишь или проксю с синкуками поставишь (тут было какое то решение от какого то хостера).

Послезавтра они будут апликейшен левел дрочить а у тебя для этого ничего нет.

 

27 минут назад, MrNv сказал:

а так у СКАТ'а есть защита от DDOS

Не смеши мои тапочки.

[jffulcrum]

Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала.

[YuryD]

42 минуты назад, jffulcrum сказал:

Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала.

 Еще раз, даже имея свою AS, к блэкхоллкоммьюнити  выше и мне добиться сложно, попасть и получить. Елефонный вариант рулит, но не бесплатно. Например свой первый диалог с магистралом на первом уровне поддержки присоедиенных был прост - переключили на реальных админов. И один из них сурово поинтересовался у своей бухгалтерии - а они за это платят ?

[s.lobanov]

лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE

 

anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f

[ayf]

2 часа назад, s.lobanov сказал:

лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE

 

anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f

Я так думаю, клиента только они и могут атаковать.

[snvoronkov]

А я пример приведу. Тривиальный. Из своего опыта.

 

Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой.

 

И способ организации понятен: сервачек, скорее всего, на хостинге без фильтрации по источнику.

 

Только вот чего с таким делать без промежуточного прокси для соединений? :-)

[Atlant]

Использовать аплинк с поддержкой  Flowspec : раском, ретн, фиорд, и т д

Плюс анализатор например fastnetmon.

[YuryD]

20 часов назад, snvoronkov сказал:

А я пример приведу. Тривиальный. Из своего опыта.

 

Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой.

 

 

 Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было.

[ayf]

26 минут назад, YuryD сказал:

 Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было.

Но если магистрал блекхолит адрес клиента, все равно недоступность получается

[YuryD]

3 минуты назад, ayf сказал:

Но если магистрал блекхолит адрес клиента, все равно недоступность получается

 Ну да, но бывали моменты засирания всего внешнего канала, атакой на один IP. На клиента мне в таком варианте насрать, поэтому блакхолл необходим сверху.

[jffulcrum]

2 часа назад, ayf сказал:

Но если магистрал блекхолит адрес клиента, все равно недоступность получается

Недоступность для AS, с которых больше всего летит. Остальным  - нет.

[neperpbl3]

Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера 

Edited March 31, 2023 by neperpbl3

[Стич]

1 час назад, neperpbl3 сказал:

Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера 

Зная ростелеком, токо не ростелеком.

[Mia]

Был опыт работы с РТК и Мегафоном. 

У РТК было всё хорошо, услугу подключили, они ее сами настроили по неким средним параметрам и всё. Оно работало, проблем не было, фильтровало хорошо, судя по отчетам в ЛК. 

У Мегафона несколько лет назад было гораздо хуже. Было примерно такое, "Мы Вам дали доступ в ЛК для настройки, настраивайте как хотите\понимаете". В итоге нифига не работало. 

Спустя примерно 2 года Мегафон тоже стали настраивать самостоятельно по их внутренним шаблонам и всё стало хорошо. 

 

PS 

стоит обратить на работу сервисов iptv, так как может идти большой поток данных и система может принять это за ДДОС. Были проблемы с тем что за паразитный трафик принимался трафик voip от удаленных обзвонщиков Тинькова (долго разбирались, смотрели и дебажили проблемы, пока не вспомнили про DDOS).