Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Методы защиты от DDoS нападений
 
Обсуждение статьи Методы защиты от DDoS нападений
 
Можно добавить: sh ip ca fl - если включен CEF и flow-dscan если юзается netflow-tools;
ip verify unicast reverse-path - при ассиметричном раутинге не работает;
ACL на магистрали: CPU сдохнет и логи засрутся, только Null0
P.S.: rfc2267 - устарело, смотрите rfc2827
 
"... Эти данные могут использоваться, чтобы определить IP адрес маршрутизатора, отправляющего злонамеренный трафик. Процесс будет повторен на следующем маршрутизаторе в цепочке. После нескольких итераций, источник (или один из них) будет обнаружен. Тогда можно создать соответствующий фильтр, который заблокирует атакующего..."

Это, конечно, спасает, если трафик приходит от малого количества источников, а если инициаторов атаки 1000 или 10000 разбросанных по всему миру? Тут бесполезно искать атакующего. И вообще, если трафик  атакующего достаточно большой (~1-2 Гбит/c), то тут никакие правила фильтрации не помогут. Захлебнется не только ближайший маршрутизатор жертвы, но и сам ISP. Поэтому для того, чтобы бороться с DDoS - нужно переделывать всю инфраструктуру Интернета, каждый маршрутизатор (или хотя бы “граничные”).
Попытки сделать что-то подобное уже ведутся. В пример можно привести проект D-WARD: http://lever.cs.ucla.edu/ddos/qual/

А пока остается только надеяться, что против вас не применят это грубое и эффективное оружие.
 
Атаки с 100 или 1000 инициаторами очень редки, обычно така идет из 10-20 источников с поддельными IP адресами
 
Даже для 10-20 это трудная задача и если хосты атакующего находятся за рубежом, то проследить полный путь практически невозможно.
В принципе, чтобы генерировать трафик ~1 Гбит/c хватит и 20 машин. Правда в этом случае придется использовать методы приумножения трафика, которые могут дать коэффициент умножения ~1000, но на настоящий момент времени это уже не проблема.
 
Народ я конецно мало что понимаю.
Но забомбить Cisco гараздо проще и эфективнее
пробовал знаем.
 
Задосить правильно настроенную CISCO напорядок сложнее любой OS.
 
Зато  прикинь какой эффект аааа....????
А насчет правильно настроенной этого я не знаю  
не настраивал.
Но вчем-то ТЫ прав!
 
Народ ! А  как насчет коммерческих средств защиты   - всяких там аплаянсов и т.д ?
Страницы: 1
Читают тему