| Цитата | ||
|---|---|---|
| m0mus пишет: То есть в реальных условиях, как говорилось:
|
ddos
|
09.02.2005 00:22:24
ах, если бы было всё так просто.
в реальности проблема даже не в том что ложится канал, а в том что вы попадаете на $. плюс учтите кучу всяких формальностей, тк просто позвонить и попросить положить канал не получится: надо заявление по факсу с подписью. а служба безопасности не всегда может реагировать оперативно. |
|
|
|
|
|
09.02.2005 00:25:44
|
|||
|
|
|
|
09.02.2005 00:29:29
кстати, вопрос решился. трафик нам списали.
техподдержка работает более оперативно, а меня там уже узнают %))) |
|
|
|
|
|
09.02.2005 00:37:21
У меня вчера возникла просто смешная ситуация с одним из провайдеров. В результате какого-то глюка в коммутаторе в нашу сторону полетел весь трафик NetFlow, который напрочь забил полосу канала и едва не положил BGP.
|
|
|
|
|
|
09.02.2005 02:07:29
ну вот, нам закрыли весь icmp ;]
|
|
|
|
|
|
11.02.2005 14:06:59
Всем привет!
Как это ни странно, но провайдеры до сих пор не ввели, хотя бы on-demand, услуги по фильтрования траффика. Причём я имею ввиду именно фильтрование, а не блокирование ACLем. Это грубо и не очень эффективно. А вот отфильтровать траффик - определить плохие и хорошие пакеты это не грубо (траффик-то бежит) и оч эффективно: Клиент заплатит за услугу, и заплатит за свой реальный траффик. А потом ещё начнёт и рассказывать как это круто жить с таким хорошим провайдером  |
|
|
|
|
|
11.02.2005 18:31:39
что ты имеешь ввиду под фильтрованием?
провайдер предоставляет тебе сосок в сеть, а что там на тебя идет его мало касается, пока оборудование справляется посмотрите сколько пакетов приходит на сеть /24 на порт 445 и т.п. никто не видел?, и еще много подобного мусора, и кто за это должен платить??? хорошие провайдеры предоставляют услуги защиты, могут твой трафик пропускать через свои файрволы согласно профилю, только плати |
|
|
|
|
|
11.02.2005 19:25:33
что ты имеешь ввиду под фильтрованием?
===DDoS явно не относиться к полезному траффику У большинства атак подобного рода есть сигнатура. Исключение представляют лишь: SYN Flood и флэш-моб. Соответсвенно, если подписать клиента на сервис типа "Чистый траффик" (аналогия с чистыми руками;) и брать за это денюжки, то: а. Не надо через себя гонять всякий мусор. б. паралельно фильтровать исходящии атаки в. лояльность клиентов повысится провайдер предоставляет тебе сосок в сеть, а что там на тебя идет его мало касается, пока оборудование справляется ===Вот ключевое слово "пока оборудование справляется"... мы и наши сети сети находимся в состоянии "только что родились". Перфоманса бэкбона хватает и для мусора всякого, а процент хай-спид-интернетизации совсем мал. Так что для нас атаки DoS/DDoS не оказывают должного эффекта. Да конечно тому кого завалили не очень хорошо, но остальным начхать Пример - последние почтовые вирусы... Каждому пользователю - пофих, ну да не приятно, что по твоей адресной книги всем разослали письма, но не критично. На России это не сказалось, а вот западным провайдерам многим оч сильно поплохело. Получилась отличная атака DDoS направленная на почтовые сервера и полосу пропускания. посмотрите сколько пакетов приходит на сеть /24 на порт 445 и т.п. никто не видел?, и еще много подобного мусора, и кто за это должен платить??? === Ага... у меня уже давно весь корейский и китайский телеком в блэк листе фаервола. Добавлял сети по классам А и В Про оплату - ИМХО риторический вопрос ... Я тоже не вижу смысла платить зато что рушит коннективити, я предпочту заплатить за защиту. Явно будет дешевле на круг.хорошие провайдеры предоставляют услуги защиты, могут твой трафик пропускать через свои файрволы согласно профилю, только плати ===К сожалению фаервол не панацея. Как только откроешь какой-нить порт - тююю туда столько всего пришлют!!!!!  Ну на пример 80. А твой сервер используют для того чтоб уложить рутер соседа АСКами или забъют канал на ответ флэш-моб атакой... Или подарят сотруднику трояна и тогда фаервол, ни фаервол, а сеть-то голая!Ну это уже из разряда корпоративных страшилок |
|
|
|
|
|
11.02.2005 22:25:30
я вот тут заметил, что человек, который нас ddosит, читает секлаб и конкретно эту ветку.
гадость, которой заражены машины: Backdoor.Win32.Robobot в irc, на котором эти боты висят около 17.5 тыс машин. |
|
|
|
|
|
11.02.2005 23:08:31
Ну прям не знаю как воспринимать |
|||
|
|
|
|
11.02.2005 23:51:25
это тебе не 10мбит на фряшнем рутере разрулить наверно до чистого трафика еще не доросли. наверно пока не выгодно раз таких предложений мало
в большинстве случаев страдают жопы админов а не бизнес в россии провайдров первого уровня по пальцам одной руки. еслиб комуто поплохело, борьба за бизнес из син-флуда моглаб реально вылиться во что-то намного серъезнее
да от этого никто не застрохован
сотрдники смотрят порнуху через проксю, и в почте копошаться остальное имхуи; и такие трояны гуляют |
|||||||||
|
|
|
|
12.02.2005 02:06:14
ну и где производить обнаружение =) на граничных рутерах???
это тебе не 10мбит на фряшнем рутере разрулить наверно до чистого трафика еще не доросли. наверно пока не выгодно раз таких предложений мало ======На мой взгляд и пограничным рутерам нечего молотить эту лабуду. Мало какой рутер справиться с 0,8(если говорить про реальный траффик на 1GE канале в одном направлении). DoS/DDoS атаки надо рубить до рутера, перед входом в сеть. да в рф естественно меньше целей для действенных дос-атак в большинстве случаев страдают жопы админов а не бизнес в россии провайдров первого уровня по пальцам одной руки. еслиб комуто поплохело, борьба за бизнес из син-флуда моглаб реально вылиться во что-то намного серъезнее ====== А во что? Тем сеть и хороша, что можно скрыть практически всё "Сеть всё простит..." (с) Моего приятеля.Пост-коммент: Провайдеры первого уровня не готовы, так как пользователи не осознают во что это может вылиться. По моему пониманию ещё год или 2 и будет достаточно плотно (если только все сразу не перейдут на DWDM, вон ТТК рапортует о том что первые сотни км пройдены , под "плотно" я понимаю развитие PON и HDSL сетей. А если мы говорим об даунлинке в 8 мега и апе в 1 мег, то уже это хорошая скорость для "завала" сети мусором. И когда начнётся деградация скорости, тут все резко и призадумаются...Я бы разделил задачи на следующие типы: 1) Защита внутри сети с разбиением на сегменты двунаправленной фильтрацией траффика для предотвращения атак инсайдеров. При никто не должен знать где стоит система. Надо искать сигнатуры, трояны, аномалии протоколов, ловить эксплоиты... 2) Защита специфических приложений в дата-центре компании - досмотр криптованного траффика, инспекция уровня 7, атаки на мисконфигурацию и прочее 3) Защита периметра компании от DoS/DDoS - тут надо тесно работать совместно с провайдером. Согласен сложно, но что поделать? Причём лоскутная защита это пустая трата денег. SYN Flood с рэйтом 1,6 mpps это много или мало? ... Кто-то такого и не видел... А у кого-то это действительность. Вот у кого действительность, тот серьёзно думает по поводу защиты. Вот такие пироги. |
|
|
|
|
|
24.08.2006 19:26:43
Кстати... насчет DDoS, провайдеров и прочих сторон нашей жизни.
Коллеги, можете сказать, в данный момент провайдеры предоставляют клиентам услуги по "очистке" трафика ? Т.е. выявляение в потоке вирусов, троянов, может быть даже функционал IPS, защита от DoS-атак. Пусть даже за денежку ? Да, и ещё - если корпоративный клиент как-то сможет договориться с провайдером или сам купит себе железку а-ля WatchGuard Firebox (Cisco ASA, Juniper IDP/SSG/ISG), то доступно ли это счастье для конечного "рядового" пользователя ? P.S. Единственное, что смог найти на данный момент о применение "заказной" фильтрации - это услуга какой-то хостинговой компании, пропускающей почту сторонних организаций через свои антиспамовые фильтры. |
|
|
|
|
|
25.08.2006 14:50:36
К сож. не компетентен говорить за провайдеров, но такую очистку можете сделать вы сами , используя реверсивный прокси, например, Privoxy и "клинить" трафик от поп-апов и прочего интернет мусора. Т.е. "выявляение в потоке вирусов, троянов" ) Собсвенно.
Со стороны провайдера требуется прежде всего системы, позволяющие скрывать точное кол-во пользователей своей сети ( сущ.аналоги открытого по, вроде TOR), скрытие собственных сетевых сервисов и отслеживание вредоносных обьектов (допустим ботов) на основных машинах Tracker'aми (вспонмите давно минувших дней Ddos Tracker и его аналоги). |
|
|
|
|
|
25.08.2006 22:05:20
1. Зачем провайдеру сокрытие точного числа пользователей своей сети. Например, в случае, если он использует NAT - как вообще можно отследить кол-во его клиентов, кому это надо и соотв. чем грозит распространение этой информации провайдеру. 2. Скрытие собственных сетевых сервисов - понятно, если что, то можно выставить наружу тот же самый reverse proxy, а что не нужно - вообще зафаерволить. 3. Отслеживание ботов - насколько я понимаю, либо сигнатурной IDS, либо по статистике трафика (которую умеют собирать более продвинутые IDS и другие сетевые устройства / софт). И все-таки, можете ли назвать провайдеров, фильтрующих трафик своих пользователей ? |
|||
|
|
|
|
26.08.2006 00:23:26
Только из зарубежных, например UUNET Technologies.
К сожалению, мой ISP использует другого рода политику и скрытие реально числа машин - одна из мер безопасности, например спасающая от удалённого анализа. Вариантов её прилично. ARP пакетами можно "обнаружить" монитор, от удалённых атак это не всегда спасает, если речь идёт о выставлении правил и использовании файервола - отдельная тема. Я говорю конкретно о скрытых сервисах, не имеющих логической привязки к конкретному IP адрессу. |
||||
|
|
|
|||
Читают тему