где фильтровать синфлуд?! кто фильтрует ддос?

Она вроде по UDP работает? Если да, то попросите ДЦ порезать TCP на Ваш адрес (разрешить только с нескольких айпи для удаленного подключения и т.д.).

---------- Добавлено в 16:36 ---------- Предыдущее сообщение было в 16:35 ----------

А расскажите нам, что Вы собираетесь делать с 1MPPS трафика? :)

---------- Добавлено в 16:42 ---------- Предыдущее сообщение было в 16:36 ----------

500-750 - это цифра, на которой у Вас кол-во дропов уже мешало открытию страницы. До 500 Вы не замечали потому, что дропы не мешали открытию, но они были. И дропы начинаются где-то после 200K. Проверялось на 8 векторной интеловой сетевке с различными дровами, разницы в которых, кстати, никакой, если в карточке больше 1 вектора, т.к. "горлышком" в данном случае является реализация TCP стека в ядре: на каждый SYN будет отправлен SYN,ACK, а по прошествии 15 секундного таймаута еще и 3 ретрансмита. При дефолтных настройках вся эта катавасия с ретрансмитами займет 45 секунд на 1 SYN. А теперь посчитайте сколько SYN'ов Вам вольют дополнительно за эти 45 секунд. И даже если подрезать таймауты и поправить стек, до 1 ретрансимта и 1 секунды таймаута (с меньшими значениями отвалится много нормальных клиентов) - все равно кол-во соединений будет наростать лавинообразно.

Так что дропы, которые не заметны при серфинге - это не "держит". Тут у человека, как бы, риалтайм траффик.

---------- Добавлено в 16:46 ---------- Предыдущее сообщение было в 16:42 ----------

Ну да. DIR-400 не выдержит 😂

Если трафик до жертвы доходит - значит роутер вытягивает, не так ли? Любой L3 свич выдержит. Даже тупенькие 3комовские бейслайны пропускают толи 50, толи 100 MPPS. А цисковские гробы с супервизорами есть и по 400 MPPS и выше :)

deltahost.com.ua, я не буду с Вами спорить.

Но скажу одно, 1mpps http флуда фильтруется на ура, а вот когда валит syn флуд + спуфинг я бы не делал таких заявлений насчет выдержит или не выдержит роутер.

И насчет того что дошел ли траф до жертвы или нет тут спорный вопрос, вы его видели на сервере? лично я нет.

Кстати о каком спуфинге идет речь?

Вы глухонемой штоле? Или читали по диагонали? В заголовке темы написано "где фильтровать синфлуд?!". При чем тут HTTP флуд? С какого перепугу Вы его сюда приплели?

Теперь касательно роутеров.

1MPPS не переварит только SOHO роутер.

Вот Вам спеки самых простеньких каталистов, учите матчасть:

А если заглянуть в спеки хотя бы 720 супервизора, то в легкую можно увидеть:

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/product_data_sheet09186a0080159856.pdf

Понятие переварить - это отфильтровать в моем понимании.

Прогнать через себя трафик это не значит его профильтровать.

Это вы видать слепой немного,

чувак хочет фильтрацию трафика, а не банальную прокачку трафика через железку.

Есть такое понятие друг мой - производительность фаервола такой параметр имеется во всех железных фаерволах.

По вашим словам у Оверсана и Драгонаре стоят DIR 400.

Тыкать носом меня в циски не надо, мы ддос в 3mpps видели у себя на роутере, а вы видать только в дашитах на оборудование.

p.s. больше писать в этой теме не буду. Так как флуд начался.

deltahost.com.ua Вы хоть раз на этих дикообразах фильтровать пытались? У Вас CPU на них вырастет до +100 и через пять сек он ляжет, я говорю о простых правилах на фильтрацию UDP, а не на TCP syn.

Forwarding Rate != filter rate.

Причина простая, перекладывание пакетов не вызывает его подробный анализ (и прием в память), который нужен для фильтрации.

К тому же, необязательно такой большой синфлуд на себя принимать, можно зануллроутить ип или денайить его на фаерволле (что мы и сделали).

А если принимать, то фильтровать надо через многопамятную систему, которая без проблем заполнит синкуками и синхосткэшем все и вся. И фильтровать уже принимая коннект на себя и проксируя клиенту (или NAT делать, но тогда надо опять же в bpf лезть и аномалии выискивать).

Касательно Дропов, их не было у нас, сначала были на интерфейсах, потьюнили сетевые карты, уменьшили интеррапты и все пошло как по маслу.

Отсечь роутером - идея утопична. Ляжет вся сеть. Процы не вытянут, какими бы они не были.

Разве что если стоит какой-то фильтр внешний типа арбора или аномали от циско, тогда есть шанс.

Но опять же, проще все сделать на сервере с мощными проциками и хорошим сетевым оборудованием.

Совет топикстартеру - искать надо не контору, а специалистов по защите. Чтобы получилось относительно недорого и надежно. Обычно на широкую аудиторию выкладывают решения по фильтрации мелких атак http, которых сейчас много в силу хорошего развития широкополосного доступа у абонентов.

PS. Мы в данный момент не можем ничего предложить, хотя и специалисты у нас есть и ресурсы.

Только после НГ разве что, если будет актуально.

Да, нормально UDP фильтруется. Проверьте перед тем как домыслы строить :)

Проверяли, результат? Больше не пускать команды запрета на свитчах :), учитывая что роутерная база такая же, на них тоже не стоит.

У меня работает. Что я делаю не так?