Всем привет. На мой взгляд, самое простое и в то же время эффективное решение - настройка сигнатур на стороне провайдерских/датацентровских IDS для исходящего трафика. Главным образом - рейтлимит вот этого : https://www.us-cert.gov/ncas/alerts/TA14-017A Ну и, разумеется, запрет спуфинга + мониторинг своей сети на предмет аномалий наряду с адекватной настройкой лимитов. И не нужны никакие дополнительные телодвижения и решения вроде Cloud-based DDoS Mitigation от Arbor :)
14.10.2015, 11:03, "Yura Scheglyuk" <[email protected]>: > Hi! > > On 13.10.2015 21:25, Sergey Myasoedov wrote: > >> Таким образом, усмирение атаки сводится к простому алгоритму: >> 1) Атакуемый оператор составляет список атакующих его адресов и загружает в >> систему. >> 2) Система проверяет принадлежность адресов различным операторам и >> рассылает им уведомления. >> 3) Операторы, из сети которых ведется атака, получают письма от системы со >> списком адресов и >> перекрывают этим адресам доступ в сеть, высылают им уведомления о >> необходимости проверки своих >> ПК и т.д.. >> Все, атака захлебнулась.... =))) > > Вы забыли про четвёртый пункт: > > 4. Отключенный клиент уходит к другому провайдеру. > > Проходили это на своём опыте. Сначала тех.поддержка звонила заражённому > клиенту и предупреждала о проблеме, рекомендовали установить антивирус. > 95% абонентов просто забивала на это. Пробовали отключать особо > заражённых клиентов - посыпались жалобы и угрозы уйти (и уходы) к > другому провайдеру. У нас SCE, пробовали заражённым клиентам показывать > страничку с предупреждением - тоже игнорировали. > > Сейчас ограничили общую полосу NTP и DNS трафика, так что если и будет > штормить, то не во всю мощь. > > -- > С уважением, Щеглюк Юрий > > _______________________________________________ > discuss mailing list > [email protected] > http://www.enog.org/mailman/listinfo/discuss _______________________________________________ discuss mailing list [email protected] http://www.enog.org/mailman/listinfo/discuss
