Витайлий МР Опубликовано 10 октября, 2013 (изменено) · Жалоба Требуется проанализировать имеющуюся защиту от DDoS проекта онлайн-игры Оборудование установлено в одном из датацентров Москвы. Оплата по договорённости. Если у кого етсь тестовый ботнет, то совсем замечательно. Роутер Mikrotik Cloud Core Router 1036-12G-4S Изменено 27 октября, 2013 пользователем Витайлий МР Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morzul Опубликовано 14 октября, 2013 · Жалоба Это у вас на Mikrotik защита от DDoS реализована? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 15 октября, 2013 · Жалоба На Микротике вы разве что от школоты с hping защититься сможете. Даже средненький ботнет уложит и микротик и ваш канал на лопатки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 15 октября, 2013 · Жалоба http://qrator.net/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 17 октября, 2013 · Жалоба а 10 гигабитного интернет канала разве мало для защиты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 октября, 2013 · Жалоба а 10 гигабитного интернет канала разве мало для защиты? У указанного вами микротика порты на 1гбит=) Нужно тогда было брать с 10 гигабитными. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 17 октября, 2013 · Жалоба У нас гигабит сейчас, но можно по идее оптические модули на 10 воткнуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 17 октября, 2013 · Жалоба У нас гигабит сейчас, но можно по идее оптические модули на 10 воткнуть Похоже, 10Г Вы не "воткнете", только 1Г. 4x SFP ports Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 17 октября, 2013 · Жалоба гигабита мало для защиты от слабого ддоса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 18 октября, 2013 · Жалоба 10 гигабитного будет мало, пишу по реальному опыту сейчас: Была атака в гиг с лишним, взял сервер с 10G, ну стала атака 23 гига и вышибли меня нафиг с этого хостинга :) Пишите Константину из ddos-protection.ru, они берутся за такую работу, и работают по серьезному. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 18 октября, 2013 · Жалоба Интересно этот микротик так же падает от брута пароли или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 18 октября, 2013 · Жалоба Интересно этот микротик так же падает от брута пароли или нет. а поподробнее? Даже интересно стало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 18 октября, 2013 · Жалоба Вроде дос-брут паролей в последней прошивке пофиксили. Ну так и 100 гигабит будет ддос, толку тогда вообще защищаться? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 18 октября, 2013 · Жалоба Так и говорим, что надо правильно защищаться, а не настройками микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 18 октября, 2013 (изменено) · Жалоба Интересно этот микротик так же падает от брута пароли или нет. а поподробнее? Даже интересно стало Читайте тему внимательно http://forum.nag.ru/forum/index.php?showtopic=77408&st=800 А серверный корпус случаем не от labi? Изменено 18 октября, 2013 пользователем pawel40 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 18 октября, 2013 · Жалоба Это понятно, что от ддоса правильно защищаться через конторы, которые делают проксирование. Но задача стоит несколько иная. Максимально правильно оценить и усовершенствовать имеющиеся правила фаервола на микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 октября, 2013 · Жалоба Максимально правильно оценить и усовершенствовать имеющиеся правила фаервола на микротике. не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 19 октября, 2013 · Жалоба Вроде дос-брут паролей в последней прошивке пофиксили. Ну так и 100 гигабит будет ддос, толку тогда вообще защищаться? ))) Там где я дал ссылку - и от 100 гигабит вас защитят. На меня атаку увеличивали, пока у хацкеров жопа треснула похоже, они впали в истерику и начали левые абузы рассылать по всех хостингам где я сервер раньше держал, а ddos-protection атаку держат. Причем они отбивают атаки разных видов, и просто флуд, и SYN flood, и атаки запросами. На Микротике вы вообще никак не отобьете например запросы которые грузят проц вебсервера, или скажем slowloris. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Витайлий МР Опубликовано 19 октября, 2013 · Жалоба Там где я дал ссылку - и от 100 гигабит вас защитят. На меня атаку увеличивали, пока у хацкеров жопа треснула похоже, они впали в истерику и начали левые абузы рассылать по всех хостингам где я сервер раньше держал, а ddos-protection атаку держат. Причем они отбивают атаки разных видов, и просто флуд, и SYN flood, и атаки запросами. На Микротике вы вообще никак не отобьете например запросы которые грузят проц вебсервера, или скажем slowloris. убедили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 19 октября, 2013 · Жалоба На Микротике можно только порты прикрыть, в лучшем случае, и на высоком pps он сложится. Нужно чтобы специалисты посмотрели, что именно у вас атакуют. Рассчитывайте по типу атаки. И то, что если вы не угадаете - инвестированные деньги будут выброшены на ветер. Если не думаете что превысят ваш канал - то можно сочинить что-то на Линуксе, я или кто-то с форума могут помочь. Любой достойный Core i7 с multiqueue сетевухой справится до 1-10 гигабит легко. НО. Вы потратитесь на сервер, на недешевую карту если перейдете на 10 гиг, оплатите канал, и почитайте мою историю: У меня был хостинг со свободными 400 мегабитами, сайт понемножку песочили достаточно давно, но я поставил от syn flood железку - serveriron, и год где-то нормально прожил. Потом владелец начал жаловаться, что сайт падает вообще, ну и у меня на площадке все складывалось (600 мбит уже использовалось под другие нужды). Запросил у апстримов - на меня атаки в 2-2.6 гигабита приезжали. А порт на меня - гигабит. Взял я 10 гбит сервер, настроил правила, где-то недели две атакующим потребовалось на наращивание до 26 гигабит. Ну и считайте выкинул я деньги на этот хостинг - на ветер, т.к. пришлось искать тех, кто может выдержать атаки посерьезнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 октября, 2013 · Жалоба Микротик, это самое плохое решение для "Защиты от ДиДОСА". Хуже только тазик на винде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HackerDeath Опубликовано 23 октября, 2013 · Жалоба А гдеже сааб защищающий микротики?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 октября, 2013 · Жалоба А гдеже сааб защищающий микротики?) Сааб всегда на месте. Арендуете инет в куче датацентров, ставите в каждую по несколько CCR, на каждом анонсируете свои адреса в инет, далее от них по туннелям все идет в центральный датацентр, где стоят защищаемые сервера. Прямого доступа на них с интернета нет, только через промежуточные микротики, если начинают атаку, то она обычно придет на какой-то один микротик, или несколько - там ее легко заблокировать, ведь суммарная пропускная способность всех каналов будет намного больше, чем возможности атакующих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 24 октября, 2013 (изменено) · Жалоба На nag`e есть несколько типов людей: 1. Те, что не умеют и не будут настраивать "тосамоепозорноежелезоМИКРОТИК", которое, по их мнению, есть унылое гавно и недостойно их совершенного технического гения. (ЛУЧШЕКУПИМЦИСКУ!!111) 2. Те, кто умеют и не парятся, у них все работает 3. Сааб95 (крепись, мужик, мы с тобой))) , которого все норовят под***атьзадеть в стиле мартышек из известного всем советского мультфильма. Решение всегда есть и да, это не всегда routerboard, но лучше уж он, чем очередной ***айвей. А то, что работает лучше (а порой и наравне) чем МТ, стоит дороже и причем существенно Изменено 24 октября, 2013 пользователем ilili Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 октября, 2013 (изменено) · Жалоба Есть 4й тип. Те, кто умеет настраивать, но знает насколько много у этого железа/софта багов и насколько хреново их фиксят разработчики. PS: 200 боевых RB751U-2HnD c total-hdd-space: 126976KiB, улетают обратно поставщику ввиду глюкавости железа. PPS: а у сааба лишь одна тухлая отмазка. Заявленная опция не работает - она не нужна. (особенно я смеялся когда сей персонаж вещал это про IPIP, IPSEC, OSPF) Изменено 24 октября, 2013 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...