> Od 14 godzin jedno z moich łącz zalewane jest pakietami UDP z dwóch
> zagranicznych hostów.
> Dzwoniłem wczoraj, wysyłałem maile (wczoraj normalny dzień roboczy był) i
> prócz telefonów, że "administrator zostanie powiadomiony" nie zrobiono
> nic.
> Ile czasu w normalnej firmie trwa wycięcie takiego ruchu?
> W chwili obecnej szukam już innego dostawcy, bo z tą firmę tak jak kiedyś
> chwaliłem tak teraz konkurencji bym nie polecił.
No widzisz, to nie jest takie proste. Ostatnio ataki są tak rozproszone, że
przemiata z różnych SRC IP, miesza portami itd - także DST potrafi
przelecieć
się po kilkuset adresach. Wtedy nie bardzo można cokolwiek zrobić - jedynie
ratelimit założyć na zestaw adresów DST, ale.. nie każdy router to potrafi
zrobić.
Np. duże junipery mogę nie mieć tej funkcjonalności - zależy od interfejsu
czy jest za 100tyś pln czy za 300tyś pln.
Ciekawie jest jak masz fajnego dostawce i sam się limitujesz i zajmujesz
floodami.
U nas ostatnio na łączu 100Mbit (interfejs 1Gbit) przyszedł flood taki, ze
statystyka
skoczyła do 750Mbit... router nawet nie drgnął - a atak sami wycieliśmy.
- Platforma Tyan NR16 z 2xXeon 3.2GHz - Linux 2.6.20 inside.
Oczywiście zero conntracka i innych libpcapowych aplikacji, za to BGP czyli
duża tablica.
Marcin
Received on Tue May 1 17:05:06 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 01 May 2007 - 17:40:01 MET DST