[faf]

Доброго времени суток!

 

Подключение к глобальной паутине организовано следующим образом - приходит кабель(витая пара) от провайдера в неуправляемый коммутатор от него кабель в шлюз(в качестве ОС используется freebsd 7.3) через, который раздается интернет пользователям локальной сети. У провайдера нам выделен внешний ip-адрес, который присвоен шлюзу. На этом адресе на определенном порту развёрнут сервис, необходимый клиентам нашей организации. Сервис развёрнут в локальной сети, выходит через nat. Вчера наш внешний ip-адрес и конкретно порт, на котором базируется сервис начали "ддосить"(извините, если неправильно, не силён терминологии). Вообщем ситуация такова, что весь канал(4мбит/с) забивается не нужным трафиком и, как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно). Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят. На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика. Сменить ip-адрес или порт не представляется возможным в связи со спецификой сервиса(в ближайшие пять дней точно).

Подскажите, пожалуйста, аппаратное устройство(управляемый коммутатор, маршрутизатор), которое имело бы функцию защиты от ddos атак(хотя бы примитивную), с возможностью подключения нескольких провайдеров, администрирования через web, firewall(желательно без ограничений кол-ва правил), чтобы уже на нём я мог по определённым правилам отсекать часть трафика. Стоимость устройства в пределах 30 т.р.. Заранее благодарю.

Изменено 26 марта, 2013 пользователем faf

[ioann]

Думаю устройство Вам не поможет, т.к. канал все равно будет забиваться.

А это именно ДДОC - запросы идут с разных ip-адресов?

[dignity]

Если tcp и атака тупая - делайте tarpit(не знаю аналога в бсд)... а синкуки включены?

[triam]

Если нужно именно устройство, то смотрите на juniper srx функция называется screen, от элементарных атак сможет вас защитить. Конкретную модель можно выбрать исходя из производительности, которая вам необходима.

[dignity]

Машина не вывозит 4мбит? Шутите, это atom осилит даже...

[p9160ff]

4 Мbit

Машина не вывозит 4мбит? Шутите, это atom осилит даже...

сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html

 

а вот и аппаратная защита для него http://yellowmarket.com.ua/product_details.php?item_id=68370

Изменено 27 марта, 2013 пользователем p9160ff

[ioann]

Вам топикстартер русским по белому написал

 

весь канал(4мбит/с) забивается не нужным трафиком

а вы сразу глумиться над серваком...

Читать научитесь!

[p9160ff]

На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика.

 

 

Читать научитесь!

 

сами научитесь

[sexst]

Бесполезно фильтровать то тчо уже пришло. Это ддос, ему ваши ответы/неответы побоку.

сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html

В общем-то можно и для восьмиядерного Xeon'a таких правил понаписать что он 4 мегабита не вытянет =)

[p9160ff]

как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно).

Как вариант: посадить клиентов на VPN и поставить Cisco SA520

[Andrei]

Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят.

ИМХО это самый правильный путь. Попробуйте поговорить еще раз. Закрыть трафик, идущий на вас с определенного ip, задача несложная. Может вас не так поняли?

[ioann]

как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно).

Как вариант: посадить клиентов на VPN и поставить Cisco SA520

Поясните - как это решение разгрузит забитый канал? сервак?

[poseidon]

DoS/DoS какой?

- тип атаки?

- к-во соединений в секунду? сколько из них валидных, сколько от атакеров?

- адреса из которых идет атака изветны или постоянно меняются?

 

 

Любой Cisco firewall (pix, asa) имеет целую пачку встроенных и настраиваемых правил для защиты в тч и от DoS/DDoS.

Так например, настройка syn cookies и embrionic connections поможет от SYN-flood, half-SYN-flood; счетчики новых соединений от одного IP также могут помочь еще и от сканирования.

 

Вобщем, к вопросу надо подходить комплексно и для начала четко определить характер проблемы. От дос-ов универсальной защиты не бывает.

[vurd]

А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp.

[dignity]

А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp.

ну эт смотря какой трафик. Если UDP - вы правы, если TCP, то даже TARPIT спасет, если только там не spoofing, если spoofing, то syncookie.

[mcnick]

А сколько юзеров в сетке у вас