faf Опубликовано 26 марта, 2013 (изменено) · Жалоба Доброго времени суток! Подключение к глобальной паутине организовано следующим образом - приходит кабель(витая пара) от провайдера в неуправляемый коммутатор от него кабель в шлюз(в качестве ОС используется freebsd 7.3) через, который раздается интернет пользователям локальной сети. У провайдера нам выделен внешний ip-адрес, который присвоен шлюзу. На этом адресе на определенном порту развёрнут сервис, необходимый клиентам нашей организации. Сервис развёрнут в локальной сети, выходит через nat. Вчера наш внешний ip-адрес и конкретно порт, на котором базируется сервис начали "ддосить"(извините, если неправильно, не силён терминологии). Вообщем ситуация такова, что весь канал(4мбит/с) забивается не нужным трафиком и, как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно). Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят. На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика. Сменить ip-адрес или порт не представляется возможным в связи со спецификой сервиса(в ближайшие пять дней точно). Подскажите, пожалуйста, аппаратное устройство(управляемый коммутатор, маршрутизатор), которое имело бы функцию защиты от ddos атак(хотя бы примитивную), с возможностью подключения нескольких провайдеров, администрирования через web, firewall(желательно без ограничений кол-ва правил), чтобы уже на нём я мог по определённым правилам отсекать часть трафика. Стоимость устройства в пределах 30 т.р.. Заранее благодарю. Изменено 26 марта, 2013 пользователем faf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioann Опубликовано 27 марта, 2013 · Жалоба Думаю устройство Вам не поможет, т.к. канал все равно будет забиваться. А это именно ДДОC - запросы идут с разных ip-адресов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 27 марта, 2013 · Жалоба Если tcp и атака тупая - делайте tarpit(не знаю аналога в бсд)... а синкуки включены? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 27 марта, 2013 · Жалоба Если нужно именно устройство, то смотрите на juniper srx функция называется screen, от элементарных атак сможет вас защитить. Конкретную модель можно выбрать исходя из производительности, которая вам необходима. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 27 марта, 2013 · Жалоба Машина не вывозит 4мбит? Шутите, это atom осилит даже... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 27 марта, 2013 (изменено) · Жалоба 4 Мbit Машина не вывозит 4мбит? Шутите, это atom осилит даже... сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html а вот и аппаратная защита для него http://yellowmarket.com.ua/product_details.php?item_id=68370 Изменено 27 марта, 2013 пользователем p9160ff Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioann Опубликовано 27 марта, 2013 · Жалоба Вам топикстартер русским по белому написал весь канал(4мбит/с) забивается не нужным трафиком а вы сразу глумиться над серваком... Читать научитесь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 27 марта, 2013 · Жалоба На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика. Читать научитесь! сами научитесь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 27 марта, 2013 · Жалоба Бесполезно фильтровать то тчо уже пришло. Это ддос, ему ваши ответы/неответы побоку. сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html В общем-то можно и для восьмиядерного Xeon'a таких правил понаписать что он 4 мегабита не вытянет =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 27 марта, 2013 · Жалоба как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно). Как вариант: посадить клиентов на VPN и поставить Cisco SA520 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 марта, 2013 · Жалоба Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят. ИМХО это самый правильный путь. Попробуйте поговорить еще раз. Закрыть трафик, идущий на вас с определенного ip, задача несложная. Может вас не так поняли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioann Опубликовано 28 марта, 2013 · Жалоба как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно). Как вариант: посадить клиентов на VPN и поставить Cisco SA520 Поясните - как это решение разгрузит забитый канал? сервак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poseidon Опубликовано 30 марта, 2013 · Жалоба DoS/DoS какой? - тип атаки? - к-во соединений в секунду? сколько из них валидных, сколько от атакеров? - адреса из которых идет атака изветны или постоянно меняются? Любой Cisco firewall (pix, asa) имеет целую пачку встроенных и настраиваемых правил для защиты в тч и от DoS/DDoS. Так например, настройка syn cookies и embrionic connections поможет от SYN-flood, half-SYN-flood; счетчики новых соединений от одного IP также могут помочь еще и от сканирования. Вобщем, к вопросу надо подходить комплексно и для начала четко определить характер проблемы. От дос-ов универсальной защиты не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 30 марта, 2013 · Жалоба А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 31 марта, 2013 · Жалоба А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp. ну эт смотря какой трафик. Если UDP - вы правы, если TCP, то даже TARPIT спасет, если только там не spoofing, если spoofing, то syncookie. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcnick Опубликовано 31 марта, 2013 · Жалоба А сколько юзеров в сетке у вас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...