DOS атака - как бороться?

Затмения у всех бывают. Не путайте модератора и терминатора ;)

Помню, что было где-то ... "sorting of all address pools according to the source address of the querying resolver", а где именно - забыл, потому, как сам никогда не юзал.

Могу на спор на гигабитном канале отбить атаку в 3-5-10 гигабит. Готовы спорить?

лол. профессионал вы наш :)

отражение атаки-это нормальная обработка конечным сервером 100% запросов. по крайней мере от вас этого хотел бы клиент.

а единственное, что вы можете со своими туннелями сделать при гигабитном канале и 5-гигабитной атаке-это фильтрануть гигабит, отсечь оттуда корректные запросы и отдать их через туннель клиенту. но запросы из остальных 4-х гигабит у вас отвалятся.

если это в вашем понимании отражение атаки... звиняйте.

на вашу бредятину по поводу софта и железа могу ответить тока одно. программа, прошитая в микросхему на плате работает по-любому быстрее, чем софтовая эмуляция на уровне ОС, хотите почуствовать наглядно, красиво - погоняйте в игрушку с программной реализацией directx и на видеоплате с аппаратной поддержкой.

так и есть

это не я говорю, а вы... платите деньги и убедитесь сами, в чем проблема? я предложил поспорить... в чем проблема? за слова отвечать надо! вы понимаете о чем я? если просто языком только умеете, то ничего не могу поделать... сложно для вашего понимания? какая разница как мы это делаем... если у вас нет даже малейшего понятия об инструментарии доступном через BGP, то о чем я могу еще с вами говорить?

в кучу валятся рейды, директиксы, видяхи... софт, железо.. прости, но за компетенцию уже сомнения большие, т.к. от предмета вы далеки более чем...

и что вы сравниваете? давайте сравним брендовую железку за 50 килобаксов и производительность серверов на 50 килобаксов... слабо? на стольки серверах с помощью нашего софта можно чистить 30 гигабит в легкую... знаете сколько миллионов вы заплатите за железо чистящее такую полосу?

В терминологии bind 9.x это называется view. Когда нельзя заблекхолить азию, то под шумок можно подсунуть туда другой ip или 127.0.0.1.

при всём уважении к вам... ваше утверждение об обработки атаки шириной больше чем ваш канал средствами изнутри-это совершенно невозможно. большая часть соединений за пределами ширины вашего канала отвалится по таймауту-пакеты просто не дойдут до вашего софт, т.к. канал забит. такие атаки не отражаются решениями уровня ДЦ - это решение уровня провайдера.

вы, кстати, не сотрудничали часом с сейп, когда их атаковали, и если нет, то почему? :) раз ваши уникальные решения делают невозможное :)

недорогая защита-это защита от недорогих атак,и не более.

а почему нет? мне кто-то запрещает сливать инфу на bgp рутеры аплинков?

опять понеслась... в некоторых ДЦ мы сами себе провайдеры, фактически со своей канальной инфраструктурой... и что?

я не знаю кто такие сейп... если бы они обратились, то их вопрос бы мы решили 100%

Сталкер, вот есть у меня один клиент, которому пролексик зарядил 80k$ за защиту на полгода, причем попросил оплатить их сразу. Атаки там скажем были не то, что недорогие, а целый похоронный марш. Нагружали под завязвку в т.ч. и с p2p сеток. На часть серверов клиент поставил софт, а на часть серверов подал тунель. 7 гигабит резалось на 3 гигабтном канале, причем от атаки в последний не пролезало даже и гигабита. Более того, обычные смертные юзера заходившие на сервис по http спокойно его использовали. Если знаете как устроено BGP, то ничего удивительного тут нет.

По сравнению с 80k$ наш сервис/софт стоит просто копейки. По функциональности, IMHO, в контексте защиты http, мы делаем лучше чем делает cisco guard и еще с ними типа RAD. Буду повторять это бесконечно. Наверное пока железяку не сделаем и не поставим на неё прайс 15k$ понимания среди ламеров мы недостигнем.

Знали бы вы какой ГЛЮКАВЫЙ СОФТ использует стаминус и проксишлд - откровеннейший самопис. У них в пресс релизах даже написано, что их инженеры разработали уникальный софт. Конечно же, по вашему ламеры они все, надо на самом деле железо использовать, а они на софте сидят... к тому же еще и своем. И через полгода просьб они изрекли "О!!! Гуд дей!!! Наши программисты долго и продуктивно поработали - сегодня мы можем кастомизироват рефреш пагу под каждого клиента..." за доп 200 баксов в месяц... бгагагага. Это мать их лидеры индустрии, если кто не в курсе.

А фик его знает... писюк и писюк 😂

Причем первая кажется один в один как IBM X-Series, так же как и их голосовые решения. Что само собой наводит на мысль о сетевухах броадком и т.д...

Короче на фотках мегажелезо для борьбы с DDOS от Cisco Systems... если в контексте железо vs софт, то все прекрасно понимают о чем идет речь.

это уж смотря как вы пытаетесь слить туда инфу.

кстати, вот вначала топика говорили о днс - и в то же время никто не мешает атакующему для разрешения адреса не использовать днс. и ддосить например не сервер клииента, а центральный маршрутизатор ДЦ.

В нормальных ДЦ пограничные маршрутизаторы заблекхолены через аплинк... а по сему в трейсах отображаются звездочки 😂 и даже если знаете его ip, то трафик до него недойдет... конечно же проблема такая присутствует, т.к. пока рутер раз-другой не грохнут, то админы зад свой на эту тему чесать не будут... а так уже практически везде почесали.

Стандартная схема короче. А вот ДЦ с центральным маршрутизатором вообще не видел... видел когда 65тая там одна стоит, обвешанная 35тыми или 37мыми, но её, с ёё производительностью... ну даже если 10 mpps туда сможете пропихнуть, то ей по барабану будет.

как и все - хожу по bgp на рутеры аплинка.... а как её еще туда сливать? могу комунити выставлять на сетки, т.е. в блекхол по dst, в блекхол по src... могу next-hop на себя анонсить и т.д... трафик балансить по bgp могу, если дырки гигабитной нехватает... и т.д. и т.п.

---

Ну и пускай меня ддосят по ip... особенно когда сайт клиента висит сразу на 3х или 5ти, пускай сразу все пять поливают - четыре в блекхол и атака будет в четыре раза меньше.

Stalker-g2, http://www.cisco.com/warp/public/732/Tech/security/docs/blackhole.pdf спасет отца русской демократии.

Реализация destination-based filtering описана хотя бы тут: noc.newline.net.ua/our_bh_rus.txt

общий алгоритм простой: увидели атаку, анонсировали либо dst либо src в нужное комьюнити, анонс согласно правил разошелся на апстримов и транзитов, атака заглохла еще на подступах к узким каналам клиента.