- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте всем.
Нужна консультация следующего плана:
есть сеть следующей конфигурации:
|
|
|
Шлюз провайдера
(с ним налажено BGP взаимодействие, сюда отправляем только свои маршруты)
|
|
|
Наш шлюз
(он же держит BGP сессию и на нём установлена наша AS)
(анонсируем мы два блока /24 и /23)
|
|
|
8-портовый свитч
|||| ||||
|||| ||||
|||| ||||
тут клиенты группы А и тут группы В
бывает так что на кого то из клиентов группы А начинается сильная атака забивающая весь выделяемый нам канал, соответственно клиенты группы В смирно отдыхают ожидая нормализации ситуации.
Но мы можем взять у провайдера ещё один порт поставить ещё один шлюз ещё один свитч и в него перенести клиентов группы В, и вот настаёт час ИКС, возможно ли при помощи имеющейся у нас BGP сессии указать провайдеру что бы он раздробленные части наших сетей /24 и /23 (разбиты на отдельные подсетки /29, /30 и даже /32) направил через дополнительный шлюз №2 и тем самым изолировал бы клиентов группы А от клиентов группы В
Сразу отвечу на вопросы:
1- а не проще ли просто расширить пропускную способность имеющегося канала
- нет это не проще так как на данном этапе экономически не выгодно
2- на чём (на какой железке) организовано BGP?
- Quagga установленная на квандик с двумя сетевушками (ОС Centos 5.7)
3- что будет использовано в качестве шлюза на втором включении?
- тоже самое что и на первом
Ну и сам вопрос , реально ли такое организовать и какие будут предложения?
Можно и фантазировать, но ведь на самом деле у провайдера свой взгляд на ситуацию и он позволит взаимодействовать со своим оборудованием только так как он хочет. Если последнее слово за провайдером то, что ты от форума хочешь ? Спроси у провайдера.
Правильно ли я понимаю?
От провайдера нужно только согласие принимать от меня префиксы более /24 вплоть до /32 и тогда теоретически поставленная задача заработает?
почему нельзя, можно, берёте второй канал ставите бгп - и тыкаете его в свитчь.
А можно, клиента которого досят, блокировать у аплинкера, тем самым все будут дышать ровно.
Пинайте аплинка/ов, чтоб предоставил blackhole community для
временного выключения провинившегося IP
P.S. второй и более аплинк нужен для расширения канала, балансировки и увеличения живучести, но никак не для затычки от ДДоСа.
провайдера без проблем можно попросить принять сети размером меньше \24 , но а как же весь остальной мир ? весь остальной мир фильтрует меньше \24.
у вас две сети \24. для простоты ситуации - анонсируйте \24 в одну дырку и \24 в другую и \23 в обоих для отказоустойчивости (да, придется переделать адресацию местами/ это типичная ошибка на самом деле в части бгп. сначала распределяют адреса в сетях так, как удобно самим и сталкиваются с тем - что так не удобно бгп), если пойдет ддос - и что бы каналы разделить - выбиваете из анонса \23. что предлагает провайдер в качестве решения со своей стороны по поводу ддоса, что там насчет blackhole?
если небольшой ддос - то можно отбиться и самому без проблем или вас сразу 70-150 мбит пришибают?
сразу хоть на уровне квагги хоть на уровне linux-kernel забаньте всякий китай, вьетнам, камбоджу и т д, относился скептически к таким решениям, но на удивление серверам стало жить тише, чище, графики выровнялись :) . iptables.txt могу дать, 10к подсетей.
Пинайте аплинка/ов, чтоб предоставил blackhole community для
временного выключения провинившегося IP
P.S. второй и более аплинк нужен для расширения канала, балансировки и увеличения живучести, но никак не для затычки от ДДоСа.
Поддерживаю, blackhole может быть и /32 ....
Самое нормальное решение будет IMHO
провайдера без проблем можно попросить принять сети размером меньше \24 , но а как же весь остальной мир ? весь остальной мир фильтрует меньше \24.
Ну так весь мир и пусть себе фильтрует /24 /23 а вот роутер аплинка моего ведь может принят и меньшие префиксы и не анонсировать их в мир, так как именно ему нужно что то завернуть на один порт а что то на другой а его аплинку весь траф моих сетей передать ему, разве не так?
Ну так весь мир и пусть себе фильтрует /24 /23 а вот роутер аплинка моего ведь может принят и меньшие префиксы и не анонсировать их в мир, так как именно ему нужно что то завернуть на один порт а что то на другой а его аплинку весь траф моих сетей передать ему, разве не так?
Так, если в любой из схем есть доступ на обе стороны (маршрутизаторы) то достигнуть между ними можно любые договоренности в плане маршрутизации и в плане вещания сетей в любые стороны. Но IMHO куда проще прописать blackhole community для x.x.x.x/32 в момент доса.... чем начинать роутить этот трафик через какие-то другие порты, ладно если вы его начинаете роутить на каую-то умную железку которая фильтрацией занимается и имеет пограничный канал в пару раз превышающий мощность DDOs... еще понимаю..... а что бы "заглушить" по моему blackhole самый надежный выход......
у так весь мир и пусть себе фильтрует /24 /23 а вот роутер аплинка моего ведь может принят и меньшие префиксы и не анонсировать их в мир, так как именно ему нужно что то завернуть на один порт а что то на другой а его аплинку весь траф моих сетей передать ему, разве не так?
так. если провайдер захочет это делать. у него могут быть свои соображения и не обязательно технические. может ему выгоднее развести вас на один толстый канал чем морщить мозг.
blackhole community тоже далеко не рядовая услуга.
Так, если в любой из схем есть доступ на обе стороны (маршрутизаторы) то достигнуть между ними можно любые договоренности в плане маршрутизации и в плане вещания сетей в любые стороны. Но IMHO куда проще прописать blackhole community для x.x.x.x/32 в момент доса.... чем начинать роутить этот трафик через какие-то другие порты, ладно если вы его начинаете роутить на каую-то умную железку которая фильтрацией занимается и имеет пограничный канал в пару раз превышающий мощность DDOs... еще понимаю..... а что бы "заглушить" по моему blackhole самый надежный выход......
та я в данный момент на по ддос а про то что бы он не мешал другим клиентам , я не собираюсь менять маршруты в момент атаки (ну кроме возможно blackhole community) мне изначально нужно траф к одним клиентам пустить в одну дырку а к другим в другую вот и всё (но при этом я не могу использовать большие сети ) так как клиентов которые должны быть изолированы не много.