ayf Posted May 8, 2018 Posted May 8, 2018 Коллеги, добрый день. Сталкивались ли вы, как провайдеры, с задачей защиты какого-либо сервера, стоящего у клиента от ДДОС? Первый раз получил такой запрос. Читаю всяческие пособия, но они все рассчитаны на администратов того сервера, который надо защищать. В стиле: iptables и .т.п. А вот что делать провайдеру в таком случае? Может кто поделится информацией? Я так понимаю, что просто заворот трафика в blackhol приведет к такой же недоступности сервера, как и в результате атаки. Вставить ник Quote
Totoshka Posted May 8, 2018 Posted May 8, 2018 Насколько помню некоторые DDoS защитнички как раз предлагают решения защиты в рамках сетей ISP, вам наверно с ними будет лучше пообщаться. Вставить ник Quote
uk2558 Posted May 8, 2018 Posted May 8, 2018 (edited) Выделяете отдельную подсеть под таких клиентов, поднимаете ещё один роутер между своим бордером и клиентской машиной, и вот на нём уже фильтруете трафик. Edited May 8, 2018 by uk2558 Вставить ник Quote
MrNv Posted May 8, 2018 Posted May 8, 2018 так DDOS же разный бывает вот нас недавно DDOS'или трафиком больше 20Gbps, тут ни какой iptables не справится, только blackhole а так у СКАТ'а есть защита от DDOS Вставить ник Quote
alibek Posted May 8, 2018 Posted May 8, 2018 Против лома нет приема. Если DDoS серьезный, то спасет только толстый канал. Если входящий канал выдерживает DDoS, то уже за ним трафик можно фильтровать или резать, чтобы защитить клиента. Вставить ник Quote
Ivan_83 Posted May 8, 2018 Posted May 8, 2018 3 часа назад, ayf сказал: А вот что делать провайдеру в таком случае? Может кто поделится информацией? Обратится к специалисту. Тут где то был один специализирующийся только на этом. Сам ты сделать, кроме траты времени, ничего не сможешь против атакующего умнее скрипткиди. Сегодня они досят UDP, ты его отобъёшь ACL на коммутаторе. Завтра они будут досить синфлудом, ну может ты там PF или ещё чего замутишь или проксю с синкуками поставишь (тут было какое то решение от какого то хостера). Послезавтра они будут апликейшен левел дрочить а у тебя для этого ничего нет. 27 минут назад, MrNv сказал: а так у СКАТ'а есть защита от DDOS Не смеши мои тапочки. Вставить ник Quote
jffulcrum Posted May 8, 2018 Posted May 8, 2018 Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала. Вставить ник Quote
YuryD Posted May 8, 2018 Posted May 8, 2018 42 минуты назад, jffulcrum сказал: Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала. Еще раз, даже имея свою AS, к блэкхоллкоммьюнити выше и мне добиться сложно, попасть и получить. Елефонный вариант рулит, но не бесплатно. Например свой первый диалог с магистралом на первом уровне поддержки присоедиенных был прост - переключили на реальных админов. И один из них сурово поинтересовался у своей бухгалтерии - а они за это платят ? Вставить ник Quote
s.lobanov Posted May 8, 2018 Posted May 8, 2018 лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f Вставить ник Quote
ayf Posted May 8, 2018 Author Posted May 8, 2018 2 часа назад, s.lobanov сказал: лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f Я так думаю, клиента только они и могут атаковать. Вставить ник Quote
snvoronkov Posted May 8, 2018 Posted May 8, 2018 А я пример приведу. Тривиальный. Из своего опыта. Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой. И способ организации понятен: сервачек, скорее всего, на хостинге без фильтрации по источнику. Только вот чего с таким делать без промежуточного прокси для соединений? :-) Вставить ник Quote
Atlant Posted May 9, 2018 Posted May 9, 2018 Использовать аплинк с поддержкой Flowspec : раском, ретн, фиорд, и т д Плюс анализатор например fastnetmon. Вставить ник Quote
YuryD Posted May 9, 2018 Posted May 9, 2018 20 часов назад, snvoronkov сказал: А я пример приведу. Тривиальный. Из своего опыта. Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой. Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было. Вставить ник Quote
ayf Posted May 9, 2018 Author Posted May 9, 2018 26 минут назад, YuryD сказал: Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было. Но если магистрал блекхолит адрес клиента, все равно недоступность получается Вставить ник Quote
YuryD Posted May 9, 2018 Posted May 9, 2018 3 минуты назад, ayf сказал: Но если магистрал блекхолит адрес клиента, все равно недоступность получается Ну да, но бывали моменты засирания всего внешнего канала, атакой на один IP. На клиента мне в таком варианте насрать, поэтому блакхолл необходим сверху. Вставить ник Quote
jffulcrum Posted May 9, 2018 Posted May 9, 2018 2 часа назад, ayf сказал: Но если магистрал блекхолит адрес клиента, все равно недоступность получается Недоступность для AS, с которых больше всего летит. Остальным - нет. Вставить ник Quote
neperpbl3 Posted March 31, 2023 Posted March 31, 2023 (edited) Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера Edited March 31, 2023 by neperpbl3 Вставить ник Quote
Стич Posted March 31, 2023 Posted March 31, 2023 1 час назад, neperpbl3 сказал: Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера Зная ростелеком, токо не ростелеком. Вставить ник Quote
Mia Posted March 31, 2023 Posted March 31, 2023 Был опыт работы с РТК и Мегафоном. У РТК было всё хорошо, услугу подключили, они ее сами настроили по неким средним параметрам и всё. Оно работало, проблем не было, фильтровало хорошо, судя по отчетам в ЛК. У Мегафона несколько лет назад было гораздо хуже. Было примерно такое, "Мы Вам дали доступ в ЛК для настройки, настраивайте как хотите\понимаете". В итоге нифига не работало. Спустя примерно 2 года Мегафон тоже стали настраивать самостоятельно по их внутренним шаблонам и всё стало хорошо. PS стоит обратить на работу сервисов iptv, так как может идти большой поток данных и система может принять это за ДДОС. Были проблемы с тем что за паразитный трафик принимался трафик voip от удаленных обзвонщиков Тинькова (долго разбирались, смотрели и дебажили проблемы, пока не вспомнили про DDOS). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.