ochrana proti DDOS? riešnie?

midnight_man

Hypoteticka otazka, ako sa da branit proti DDOS utokom? Stovky IP, kapacita vyssia ako nas konekt. Kolegovci s tym maju problem, rad by som vedel co sa da v takom pripade robit keby nahodou?

lubor

Zalezi od toho co potrebujes filtrovat (ine moznosti ma ISP a ine DC), ale najzakladnejsi sposob je RTBH.

midnight_man

no jo..ked ti tvoj poskytovatel povie ze to nie je jeho problem a mas si priplatit za bezpecnostny balicek? na urovni BGP nezmozes nic ked nemas svoje IP.

lubor

Zrejme ten DDoS nie je az taky velky, ked to nema tvoj provider zaujem riesit a nijako to nebura jeho siet :-) .

Zalezi to od toho aj ako ti sluzbu odovzdava, na BGP RTBH nemusis mat vlastne IP.

Zacal by som analyzou sietovej prevadzky.

midnight_man

nie je to moj pripad, len ma to dost zarazilo, tak isto pristup poskytovatela konektivity atd....hypoteticky by som rad vedel co potom robit.

sluzby netusim, zrejme ping? nepomaha nic, ziadny FW pretoze tie poziadavky proste pridu.

////tak vieš par sto mega trafficu benestru nezlozi....

lubor

Ja by som zacal poriadnou analyzou sietovej prevadzky. Mozno nakoniec zisti, ze ma na sieti otvorene NTP/DNS/... sluzby na ktore sa utoci a staci ich len zvonku uzatvorit a bude po probleme.

selic

Přesně tak, nejdřív někdy stačí analyzovat o jaký typ útoku jde. A pak řešit, co dál.

Pokud je to útok na servery, tak bez spolupráce s dodavatelem konektivity moc nezmůžeš.

Pokud se vyskytne útok na adresy klientů, tak je to většinou právě otevřený port pro DNS nebo NTP pro přístup zvenčí na routeru s veřejnou IP, který si klient dodal a nastavil sám.

dalibortoman

doporucuji kouknout na RTBH, FlowSpec, FastNetMon

midnight_man

no ten RTBH mozeme riesit na urovni BGP cize v nasom pripade by to nebolo mozne... co sa tyka tej prevadzky to je good napad akurat co ked sluzby vypnem. OK. ale requesty ostanu nie? tj. stale mi to bude plyvat konekt.

helapc

Je to o té analýze provozu. Pokud se zvenku dotazují tvého DNS serveru na celou tabulku, tak zpátky jde daleko větší množství dat než byl dotaz. Toho se v kombinaci s podvrhnutou zdrojovou adresou využívá na poškození někoho třetího, ale tobě to může taky ucpat linku pokud takhle otevřených DNS serverů máš hodně. Zároveň se vystavuješ odvetě toho třetího který si tě najde v logu a taky ti tam něco pošle. Pokud zakážeš dotazy zvenku přijde ti jen malé množství dat které zahodíš.