ShumBor Опубликовано 20 февраля, 2007 (изменено) · Жалоба Да там не только с трансов беда 1. node-23-33.tula.net 0.0% 22 0.3 0.3 0.2 0.8 0.1 2. nkao-ort.sc-t.ru 0.0% 22 1.4 2.1 0.8 11.8 2.3 3. 82.196.140.141 0.0% 22 2.8 1.9 1.0 3.2 0.6 4. 82.196.129.185 0.0% 21 19.3 97.8 16.2 421.3 137.6 5. 195.161.158.117 4.8% 21 59.3 79.6 55.2 248.8 51.4 6. msk-bgw3-ge0-2-0-0.rt-comm.ru 5.0% 21 103.0 68.6 55.7 204.2 34.5 7. cat02.Moscow.gldn.net 0.0% 21 42.5 48.0 41.4 90.1 12.3 8. cat03.Moscow.gldn.net 33.3% 21 327.7 277.1 179.7 583.1 108.2 9. cat01.Moscow.gldn.net 14.3% 21 182.2 181.0 170.4 226.7 16.6 10. mail.ru 20.0% 21 179.4 177.3 168.7 194.8 6.3 А откуда такие дикие задержки-то? а кто их знает.. был момент ктогда голден отвалился причем даже со свеого канала не выходил за пределы города. А вообще в сети один из юзверей начинал флудить на 85.192.62.55 удп пакетами на 80 порт... Причем время начала флуда что вчера что сегодня как-то совпадает с началом всех порблем. Поймали почти сразу, ну может задерка в минут 5 была пока мониториг отработал. Причем техники вроде бы вчера все вычистили, а сегодня опять откуда то вылезла зверюга. Изменено 20 февраля, 2007 пользователем ShumBor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ssk Опубликовано 20 февраля, 2007 (изменено) · Жалоба Хм, и у нас сегодня 3 клиента было с таким же dst - 85.192.62.55, флудили на 80/udp Ктото видимо, решил нагрузить только 85.192.62.55, но промахнулся и попал по рунету :)) Изменено 20 февраля, 2007 пользователем ssk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vicus Опубликовано 20 февраля, 2007 (изменено) · Жалоба а нам в ЮжТТК сказали следующее: Наблюдается проблема Dos-атака на ресурсы сети ЗАО "Компании ТрансТелеком". Данным вопросом занимаются специалисты КТТК. Открыта заявка Trouble Ticket N О ходе решения сообщим дополнительно. С уважением, Администратор по поддержке пользователей ЗАО "Южурал-Транстелеком" А как было это приятно слышать мне и моему коллеге с Уссурийска :-/ А так же выслушивать вопли пользователей...ЗЫ: вообще есть кучка нареканий к работе хелпдеска... Изменено 20 февраля, 2007 пользователем Vicus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 20 февраля, 2007 · Жалоба У нас с флудерасами разговор короткий - робот отстреливает без предупреждений, а включение только после звонка в техподдержку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leiden Опубликовано 20 февраля, 2007 · Жалоба АглиАдмин, если бы так работали все операторы в России - нам бы сегодня было существенно проще. К сожалению - это не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 20 февраля, 2007 · Жалоба У нас с флудерасами разговор короткий - робот отстреливает без предупреждений, а включение только после звонка в техподдержку. а на чем и по каким признакам робот определяет флудерастов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 20 февраля, 2007 · Жалоба Действительно интересно. Комплексные решения можно в личку дабы не создавать открытых каналов информации для "заинтересованных" лиц. Думаю польза всем будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 20 февраля, 2007 · Жалоба blackhole upstream главное решние, если заставите его работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mt6561 Опубликовано 20 февраля, 2007 · Жалоба Действительно интересно. Комплексные решения можно в личку дабы не создавать открытых каналов информации для "заинтересованных" лиц. Думаю польза всем будет. Эээ... Я сошел с ума??? Или действительно таки да в форуме домосетевиков учат магистральщиков блокировать простейшие DoS-атаки? 8-() Гыыы... грЫбочИк... 8-() Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 февраля, 2007 · Жалоба а на чем и по каким признакам робот определяет флудерастов?В общем, это не тайна:http://net.pnz.ru/forum/viewtopic.php?t=5104 Подробности позволю себе не публиковать. Тут, как и в антиспаме - ложные срабатывания тоже случаются. :( К магистральщикам это не может иметь никакого отношения - у них совсем другая прецифика, им юзеров отстреливать можно только в совсем уж крайнем случае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 21 февраля, 2007 · Жалоба ЗлойАдмин, ты действительно очень злой ;) Еси честно, довольно фиговые у тебя критерии. Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда. Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы). Ноу-хау: пишется буквально шкрипт на перле, который кажные 5мин ходить на все девайсы где клиентские порты (или на БРАСы) и втупую сморить на SNMP счетчики... Запатентовать что-ли? И Прохожему продать, а то переживает человек сильно ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leiden Опубликовано 21 февраля, 2007 · Жалоба Гость - ну никакой общественной ответственности. Напиши скрипт, выпусти в опенсорс и предложи с одной стороны а) магистралам его поддержать б) розничным операторам пользоваться без поддержки с твоей стороны бесплатно, а за плату адаптировать и сопровождать Гораздо эффективнее будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 февраля, 2007 · Жалоба Фигня. Чаще всего срабатывает отлавливалка спамеров - а для чего ещё создаются бот-сети, как не для рассылки спама, попытки кого-нибудь зафлудить как правило сильно вторичны. Собственно, после её внедрения все остальные виды флуда как-то почти сошли на нет, болтаются в районе 3% всех срабатываний. Массированный флуд - вообще единичные случаи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 февраля, 2007 · Жалоба Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда.Они и не впускаются, просто по срабатыванию ACL клиентский порт ещё и гасится :)Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы).ХМ. Флуда - возможно, но пока за 5 минут наберется статистика - софтовый рутер просто ляжет (а с необходимым функционалом - они все софтовые, кроме разве что Juniper ERX).Кроме того, спам это не остановит, сканирование - тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 21 февраля, 2007 · Жалоба Запатентовать что-ли? И Прохожему продать, а то переживает человек сильно ;)Патентуй, желательно в штатах, там любую ботву патентуют за деньги, руль для заднего пассажира и унитаз вместо сидения в авто. Критерий а)очевидный б)однобокий в)неоднозначный Реально критерий должен быть комплексный... Так что думай дальше, когда придумаешь - заходи, обсудим... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stingo Опубликовано 21 февраля, 2007 · Жалоба Пепец. Вот это "связность"... Теперь понятно, почему никто не может отгрузить российского коннективити по нормальным ценам, и все друг к другу ходим как не родные через Франкфурт. А теперь - диверсия. Отдаюсь за ~$5000 за 10Мбит на границе - Белгород, Курск, Ростов, Новороссийск области. Чуть дороже - граница с Грузией. Земля (не спутник). Идеальное качество. Стучать в аську: 5272901. Монополисты хреновы... Сдай мне лучше в аренду кусок границы, что бы чемодан проходил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mt6561 Опубликовано 21 февраля, 2007 · Жалоба Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда.Они и не впускаются, просто по срабатыванию ACL клиентский порт ещё и гасится :) Угу. И пользователи Планетскаев и прочих Спейсгейтов дружно посылают вам луч диареи. Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы).ХМ. Флуда - возможно, но пока за 5 минут наберется статистика - софтовый рутер просто ляжет (а с необходимым функционалом - они все софтовые, кроме разве что Juniper ERX).Кроме того, спам это не остановит, сканирование - тоже. Вроде цицки, который и от десятой части заявленной нагрузки ложится "при некоторых условиях" (читай - в практическом применении) - да. Юзайте комповые роутеры - и все будет как надо! ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 февраля, 2007 · Жалоба Вроде цицки, который и от десятой части заявленной нагрузки ложится "при некоторых условиях" (читай - в практическом применении) - да. Юзайте комповые роутеры - и все будет как надо! ;)Нет функционала нужного в компах. И вряд ли будет. И некошерно, чай оператор связи и не пионернет.Если интересно что это за функционал такой - "вилан на клиента". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leiden Опубликовано 21 февраля, 2007 · Жалоба Человек, пытавшийся торгануть с границы емкостью, предлагает юзать софтовые роутеры? Мама, роди меня обратно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 февраля, 2007 · Жалоба ХМ, действительно, ОТЖИГ нехилый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 21 февраля, 2007 · Жалоба Коллеги, а если подумать? Неужели L2 устройства ложаться от клиентского L3-флуда? Вы же клиента не напрямую в роутер или брас тыкаете. И ДСЛАМ и коммутатор должны держаться, ну а если они лягли, то и трафа там не буить никакого. Еси же девайс на доступе не отвечает по SNMP, то это уже и так повод для драки. Еще один проверенный способ - мониторинг утилизации процессоров рутеров. Это можно мониторить хоть каждые 30сек... Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mt6561 Опубликовано 21 февраля, 2007 · Жалоба Коллеги, а если подумать?Неужели L2 устройства ложаться от клиентского L3-флуда? Вы же клиента не напрямую в роутер или брас тыкаете. И ДСЛАМ и коммутатор должны держаться, ну а если они лягли, то и трафа там не буить никакого. Еси же девайс на доступе не отвечает по SNMP, то это уже и так повод для драки. Еще один проверенный способ - мониторинг утилизации процессоров рутеров. Это можно мониторить хоть каждые 30сек... Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет. Если L2-устройство древнее, как говно мамонта - почему бы и нет? Отсекается это звонком апстриму. Только для этого ангельску мову знать надо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 21 февраля, 2007 · Жалоба Если L2-устройство древнее, как говно мамонта - почему бы и нет?Вот это как раз одна из тех причин, по которым пионэрия в телекоммуникациях будет не вечной ;)Отсекается это звонком апстриму. Только для этого ангельску мову знать надо :)Товарисч проснись! Мы говорим об собственных клиентах. Звонить апстриму в этом случае - это еще одна причина, по которым пионэрия в телекоммуникациях будет не вечной ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 21 февраля, 2007 (изменено) · Жалоба Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет.Фишка в том, что реальные меры можно принимать только на базе стейтфул анализа на уровне 3-4, а такие железяки и процессорные мощности пока дороговаты для того, чтобы ставить их близко к юзверю. По сему юзабельных вариантов нет вообще, за разумные деньги конечно. Недавно услышал хорошую мыслю по этому поводу - ограничивать PPS на апстриме. Поскольку флуд характерен именно высоким PPS, в то время как приложений, работающих с высоким PPS - просто нет. Зато коммутаторы L2 с возможностью ограничения PPS в природе существуют. Один голосовой поток дает максимум 100 PPS, игры тоже имеют квантование вполне конечное, никак не 1 мсек. Прокачка данных идет крупными пакетами с умеренным PPS, и т.д., таким образом разумное ограничение никак не скажется на работе пользователя, но здорово сэкономит полосу. Не слишком системное решение, но как симптоматическое лечение - прокатит... Изменено 21 февраля, 2007 пользователем Прохожий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 21 февраля, 2007 · Жалоба Стооп, отставить. Мы о чем тут вобще говорим? О ФЛУДЕ? Что такое флуд? ФЛУД - это заполнение исходящего канала большим кол-вом мелких пакетов с целью DDoS. Флудящий не намерен и не ожидает получить все это обратно, иначе он сам себя ддосит. Таким образом, ГЛАВНЫЙ признак флуда - АССИМЕТРИЯ по пакетам на порту подключения флудящего. Ты же предлагаешь все это говно поднять на уровень мозга, что-бы он там на что посмотрел внутре пакетов? Чего ты там ожидаешь рассмотреть то?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...