ayf Опубликовано 8 мая, 2018 · Жалоба Коллеги, добрый день. Сталкивались ли вы, как провайдеры, с задачей защиты какого-либо сервера, стоящего у клиента от ДДОС? Первый раз получил такой запрос. Читаю всяческие пособия, но они все рассчитаны на администратов того сервера, который надо защищать. В стиле: iptables и .т.п. А вот что делать провайдеру в таком случае? Может кто поделится информацией? Я так понимаю, что просто заворот трафика в blackhol приведет к такой же недоступности сервера, как и в результате атаки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Totoshka Опубликовано 8 мая, 2018 · Жалоба Насколько помню некоторые DDoS защитнички как раз предлагают решения защиты в рамках сетей ISP, вам наверно с ними будет лучше пообщаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 8 мая, 2018 (изменено) · Жалоба Выделяете отдельную подсеть под таких клиентов, поднимаете ещё один роутер между своим бордером и клиентской машиной, и вот на нём уже фильтруете трафик. Изменено 8 мая, 2018 пользователем uk2558 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 8 мая, 2018 · Жалоба так DDOS же разный бывает вот нас недавно DDOS'или трафиком больше 20Gbps, тут ни какой iptables не справится, только blackhole а так у СКАТ'а есть защита от DDOS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 8 мая, 2018 · Жалоба Против лома нет приема. Если DDoS серьезный, то спасет только толстый канал. Если входящий канал выдерживает DDoS, то уже за ним трафик можно фильтровать или резать, чтобы защитить клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 мая, 2018 · Жалоба 3 часа назад, ayf сказал: А вот что делать провайдеру в таком случае? Может кто поделится информацией? Обратится к специалисту. Тут где то был один специализирующийся только на этом. Сам ты сделать, кроме траты времени, ничего не сможешь против атакующего умнее скрипткиди. Сегодня они досят UDP, ты его отобъёшь ACL на коммутаторе. Завтра они будут досить синфлудом, ну может ты там PF или ещё чего замутишь или проксю с синкуками поставишь (тут было какое то решение от какого то хостера). Послезавтра они будут апликейшен левел дрочить а у тебя для этого ничего нет. 27 минут назад, MrNv сказал: а так у СКАТ'а есть защита от DDOS Не смеши мои тапочки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 8 мая, 2018 · Жалоба Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 мая, 2018 · Жалоба 42 минуты назад, jffulcrum сказал: Смотреть, с каких AS больше прет, и заворачивать их в блекхол. https://habr.com/post/211176/ для начала. Еще раз, даже имея свою AS, к блэкхоллкоммьюнити выше и мне добиться сложно, попасть и получить. Елефонный вариант рулит, но не бесплатно. Например свой первый диалог с магистралом на первом уровне поддержки присоедиенных был прост - переключили на реальных админов. И один из них сурово поинтересовался у своей бухгалтерии - а они за это платят ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 мая, 2018 · Жалоба лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 8 мая, 2018 · Жалоба 2 часа назад, s.lobanov сказал: лучше отправить такого клиента подальше или же перепродать по тройной цене ему anti-ddos от другого оператора, который к вам пригонит трафик по GRE anti-ddos это очень сложная, ежедневноменяющаяся штука, кроме того если сумма ваших аплинков меньше пары сотен гигабит, то даже и не задумывайтесь об этом. вы сможете "защищаться" только от ддоса уровня школьников, которые в чатике договорятся запустить ping -f Я так думаю, клиента только они и могут атаковать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 8 мая, 2018 · Жалоба А я пример приведу. Тривиальный. Из своего опыта. Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой. И способ организации понятен: сервачек, скорее всего, на хостинге без фильтрации по источнику. Только вот чего с таким делать без промежуточного прокси для соединений? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Atlant Опубликовано 9 мая, 2018 · Жалоба Использовать аплинк с поддержкой Flowspec : раском, ретн, фиорд, и т д Плюс анализатор например fastnetmon. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 мая, 2018 · Жалоба 20 часов назад, snvoronkov сказал: А я пример приведу. Тривиальный. Из своего опыта. Прилетело как-то пару раз просто по гигу в клиента. Синфлудом. С рандомным ip источника. Мелким пакетом. Хорошо хоть короткими очередями минут по 15. И с большой паузой. Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 9 мая, 2018 · Жалоба 26 минут назад, YuryD сказал: Вдогон, стоит у меня тимспиксервер, используется для голосового общения в игрушках. Так его периодически пытаются завалить, видимо это недорого, заказать такую услугу в играх :) Продукт коммерческий, и ддосят именно протоколы-порты, так что это еще можно отбить. На полный ддос ip или сети - видимо дорого, но бывало. Обошлись голосовым общением с монстром-магистралом, чтобы заблакхолили, до бгп дело было. Но если магистрал блекхолит адрес клиента, все равно недоступность получается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 мая, 2018 · Жалоба 3 минуты назад, ayf сказал: Но если магистрал блекхолит адрес клиента, все равно недоступность получается Ну да, но бывали моменты засирания всего внешнего канала, атакой на один IP. На клиента мне в таком варианте насрать, поэтому блакхолл необходим сверху. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 9 мая, 2018 · Жалоба 2 часа назад, ayf сказал: Но если магистрал блекхолит адрес клиента, все равно недоступность получается Недоступность для AS, с которых больше всего летит. Остальным - нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neperpbl3 Опубликовано 31 марта, 2023 (изменено) · Жалоба Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера Изменено 31 марта, 2023 пользователем neperpbl3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 31 марта, 2023 · Жалоба 1 час назад, neperpbl3 сказал: Заказываем услугу Периметр у провайдера Ростелеком с ежемесячной оплатой. При серьезной атаке своими силами не справиться. Лучше, если защита от DDoS реализована на стороне вышестоящего провайдера Зная ростелеком, токо не ростелеком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mia Опубликовано 31 марта, 2023 · Жалоба Был опыт работы с РТК и Мегафоном. У РТК было всё хорошо, услугу подключили, они ее сами настроили по неким средним параметрам и всё. Оно работало, проблем не было, фильтровало хорошо, судя по отчетам в ЛК. У Мегафона несколько лет назад было гораздо хуже. Было примерно такое, "Мы Вам дали доступ в ЛК для настройки, настраивайте как хотите\понимаете". В итоге нифига не работало. Спустя примерно 2 года Мегафон тоже стали настраивать самостоятельно по их внутренним шаблонам и всё стало хорошо. PS стоит обратить на работу сервисов iptv, так как может идти большой поток данных и система может принять это за ДДОС. Были проблемы с тем что за паразитный трафик принимался трафик voip от удаленных обзвонщиков Тинькова (долго разбирались, смотрели и дебажили проблемы, пока не вспомнили про DDOS). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...