Перейти к содержимому
Калькуляторы

Настройка Mikrotik защиты от DDoS проекта онлайн-игры Проанализировать и доработать существующие правила фаервола

Требуется проанализировать имеющуюся защиту от DDoS проекта онлайн-игры

Оборудование установлено в одном из датацентров Москвы.

 

Оплата по договорённости. Если у кого етсь тестовый ботнет, то совсем замечательно.

 

Роутер Mikrotik Cloud Core Router 1036-12G-4S

cloudcore.jpg

Изменено пользователем Витайлий МР

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это у вас на Mikrotik защита от DDoS реализована?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Микротике вы разве что от школоты с hping защититься сможете. Даже средненький ботнет уложит и микротик и ваш канал на лопатки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а 10 гигабитного интернет канала разве мало для защиты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а 10 гигабитного интернет канала разве мало для защиты?

 

У указанного вами микротика порты на 1гбит=) Нужно тогда было брать с 10 гигабитными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас гигабит сейчас, но можно по идее оптические модули на 10 воткнуть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас гигабит сейчас, но можно по идее оптические модули на 10 воткнуть

 

Похоже, 10Г Вы не "воткнете", только 1Г.

 

4x SFP ports

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

гигабита мало для защиты от слабого ддоса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 гигабитного будет мало, пишу по реальному опыту сейчас: Была атака в гиг с лишним, взял сервер с 10G, ну стала атака 23 гига и вышибли меня нафиг с этого хостинга :)

Пишите Константину из ddos-protection.ru, они берутся за такую работу, и работают по серьезному.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно этот микротик так же падает от брута пароли или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно этот микротик так же падает от брута пароли или нет.

а поподробнее? Даже интересно стало

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде дос-брут паролей в последней прошивке пофиксили. Ну так и 100 гигабит будет ддос, толку тогда вообще защищаться? )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и говорим, что надо правильно защищаться, а не настройками микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно этот микротик так же падает от брута пароли или нет.

а поподробнее? Даже интересно стало

Читайте тему внимательно http://forum.nag.ru/forum/index.php?showtopic=77408&st=800

 

А серверный корпус случаем не от labi?

Изменено пользователем pawel40

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это понятно, что от ддоса правильно защищаться через конторы, которые делают проксирование. Но задача стоит несколько иная. Максимально правильно оценить и усовершенствовать имеющиеся правила фаервола на микротике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Максимально правильно оценить и усовершенствовать имеющиеся правила фаервола на микротике.

не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде дос-брут паролей в последней прошивке пофиксили. Ну так и 100 гигабит будет ддос, толку тогда вообще защищаться? )))

Там где я дал ссылку - и от 100 гигабит вас защитят. На меня атаку увеличивали, пока у хацкеров жопа треснула похоже, они впали в истерику и начали левые абузы рассылать по всех хостингам где я сервер раньше держал, а ddos-protection атаку держат. Причем они отбивают атаки разных видов, и просто флуд, и SYN flood, и атаки запросами. На Микротике вы вообще никак не отобьете например запросы которые грузят проц вебсервера, или скажем slowloris.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там где я дал ссылку - и от 100 гигабит вас защитят. На меня атаку увеличивали, пока у хацкеров жопа треснула похоже, они впали в истерику и начали левые абузы рассылать по всех хостингам где я сервер раньше держал, а ddos-protection атаку держат. Причем они отбивают атаки разных видов, и просто флуд, и SYN flood, и атаки запросами. На Микротике вы вообще никак не отобьете например запросы которые грузят проц вебсервера, или скажем slowloris.

убедили

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На Микротике можно только порты прикрыть, в лучшем случае, и на высоком pps он сложится. Нужно чтобы специалисты посмотрели, что именно у вас атакуют.

Рассчитывайте по типу атаки. И то, что если вы не угадаете - инвестированные деньги будут выброшены на ветер.

Если не думаете что превысят ваш канал - то можно сочинить что-то на Линуксе, я или кто-то с форума могут помочь. Любой достойный Core i7 с multiqueue сетевухой справится до 1-10 гигабит легко. НО. Вы потратитесь на сервер, на недешевую карту если перейдете на 10 гиг, оплатите канал, и почитайте мою историю:

 

У меня был хостинг со свободными 400 мегабитами, сайт понемножку песочили достаточно давно, но я поставил от syn flood железку - serveriron, и год где-то нормально прожил. Потом владелец начал жаловаться, что сайт падает вообще, ну и у меня на площадке все складывалось (600 мбит уже использовалось под другие нужды). Запросил у апстримов - на меня атаки в 2-2.6 гигабита приезжали. А порт на меня - гигабит.

Взял я 10 гбит сервер, настроил правила, где-то недели две атакующим потребовалось на наращивание до 26 гигабит. Ну и считайте выкинул я деньги на этот хостинг - на ветер, т.к. пришлось искать тех, кто может выдержать атаки посерьезнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик, это самое плохое решение для "Защиты от ДиДОСА". Хуже только тазик на винде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А гдеже сааб защищающий микротики?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А гдеже сааб защищающий микротики?)

 

Сааб всегда на месте. Арендуете инет в куче датацентров, ставите в каждую по несколько CCR, на каждом анонсируете свои адреса в инет, далее от них по туннелям все идет в центральный датацентр, где стоят защищаемые сервера. Прямого доступа на них с интернета нет, только через промежуточные микротики, если начинают атаку, то она обычно придет на какой-то один микротик, или несколько - там ее легко заблокировать, ведь суммарная пропускная способность всех каналов будет намного больше, чем возможности атакующих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На nag`e есть несколько типов людей:

1. Те, что не умеют и не будут настраивать "тосамоепозорноежелезоМИКРОТИК", которое, по их мнению, есть унылое гавно и недостойно их совершенного технического гения. (ЛУЧШЕКУПИМЦИСКУ!!111)

2. Те, кто умеют и не парятся, у них все работает

3. Сааб95 (крепись, мужик, мы с тобой))) , которого все норовят под***атьзадеть в стиле мартышек из известного всем советского мультфильма.

Решение всегда есть и да, это не всегда routerboard, но лучше уж он, чем очередной ***айвей. А то, что работает лучше (а порой и наравне) чем МТ, стоит дороже и причем существенно

Изменено пользователем ilili

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть 4й тип.

Те, кто умеет настраивать, но знает насколько много у этого железа/софта багов и насколько хреново их фиксят разработчики.

 

PS: 200 боевых RB751U-2HnD c total-hdd-space: 126976KiB, улетают обратно поставщику ввиду глюкавости железа.

 

PPS: а у сааба лишь одна тухлая отмазка. Заявленная опция не работает - она не нужна. (особенно я смеялся когда сей персонаж вещал это про IPIP, IPSEC, OSPF)

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.