Jump to content

DDos извне сети, как защищаться?

FaberCastell
 Share

Recommended Posts

FaberCastell

FaberCastell

Posted
Posted

Уважаемые коллеги, подскажите как бороться:

время от времени, иногда несколько раз в день, иногда несколько раз в неделю, кто-то (ботнет?) атакует отдельного клиента в моей сети. внешний канал, который смотрит внутрь сети, ограничен 10Мбит/с. В один момент приходит траффик больше ширины трубы. Весь траффик в каждую атаку адресован какому-то одному IP-адресу в моей сети (юникаст), который меняется от атаки к атаке. Источники траффика -- множество различных IP, все фальсифицированные (ripe говорит что такие адреса не выдавались провайдерам) или же с IP и пулов азиатских-африканских провайдеров, тоже меняются от атаки к атаке. Во время атаки нагрузка на процессор рутера (Cisco) возрастает до 60-70%, но поскольку труба забита, ни у кого из клиентов ничего не движется.

 

Пока борюсь следующим образом: включен мониторинг загрузки процессора (snmp) и как только он достигает критической отметки, скрипт логинится на рутер (rsh), вызнаёт, какому клиенту адресована атака в этот раз и блокирует его IP. Таким образом атакующий не видит больше клиента и активность прекращается. Спустя какое-то время тот же скрипт разблокирует этот айпи. И так до следующей атаки.

 

Но чую я, что это вкорне неправильно, ибо раньше с такими делами не сталкивался и совершенно к ним не готов. Сам думаю, что надо как-то ограничить максимальное число пакетов, которые могут быть переданы клиенту за единицу времени. Только как это сделать в IOS? Помогите, как правильно действовать?

 

Valaskor

Valaskor

Posted
Posted

Это вы так клиента защитите, а не свой канал.

имхо, ничто не мешает продолжать лить траффик снаружи на заблокированный IP, клиент то его не получит, а канал как был занят, так и будет. Нужно "резалку" выносить за ограничение 10мбит.

Kaban

Kaban

Posted
Posted (edited)

Надо договариваться с провайдером. У многих есть bgp community для подобных целей, отправляете ананонс своей сети или адреса на который идет атака с этим community и провайдер начинает дропать у себя в сети все пакеты идущие на этот адрес .

Edited by Kaban

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.