Neas wrote:
> Maciej Anczura pisze:
> >
>>Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
>>-- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
>>i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
>>ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.
Mi też się nie widzi.
> Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
> problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
> raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
> flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
> słyszał).
Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
coś innego.
Router ze stateful firewallem u providera nadrzednego mogłby sobie
poradzić, aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
takie usługi na masówkach typu DSL, czy nawet FR.
> Po drugie to ich problem, nie mój.
Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
tego w 100%.
Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
zabawy, czy dla podbudowania własnego ego.
> IMHO powinni mieć filtry na routerach
> brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
> jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
> o idzie do danego IP.
Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.
> Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
> resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
> pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
> Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
> Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
> to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
> Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
> się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
> lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
> (duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
> przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
> klientów do jakichś g*.
Po stronie operatora ten ruch jest >2Mbit.
A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
klasie cenowej.
>
> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
> Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
> tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
> więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
> takiego to po prostu skandal.
Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
cieszy.
-- ircx.net.pl teamReceived on Wed May 11 15:25:13 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 May 2005 - 15:40:01 MET DST