On 14.10.2015 11:03, Pavel Odintsov wrote: > Люто двачую за рейт лимитинг амплифицирующих портов от клиентов и жму руку. > > Это очень эффективный и при этом недеструктивный способ сокращения > потоков зловредного трафика летящих из сетей. > > Аналогичный подход можно использовать и для входящего трафика, чтобы не > заливать уровень аксеса гигабитами паразитного трафика.
Ограничили на доступе клиенту мегабит исходящего dns/ntp/ssdp трафика, на выходе вылилась сотня-две мегабит, на входе атакуемому все равно десятки гигабит, потому что провайдер не один. Ботнеты щас весьма развесистые, куда той клюкве. Поможет, но только против самых бакланистых ддосеров с парой подломанных машин. On 14.10.2015 08:30, Sergey Afonin wrote: > Вот потому и отключать, что, во-первых, пониженная скорость не > спасёт жертву (когда атака будет идти с сотен и тысяч хостов, > они сделают плохо и на маленькой скорости), а, во-вторых, многие > просто не будут торопиться что-от делать. Вот именно поэтому. On 14.10.2015 11:04, Валерий Солдатов wrote: > Антиспуф контролировать несложно, а польза от него большая. On 14.10.2015 11:05, Sergey Myasoedov wrote: > BCP38/BCP84 - это не война с абонентами, это гигиена в собственной сети. Сильно зависит от реализации. Если спуфленые пакеты фильтровать еще на доступе - то да, польза большая. А если просто на выходе из своей сети дропать пакеты с не своим src - то тогда просто спуф пойдет по всему адресному пространству этого оператора, я такое уже встречал. On 14.10.2015 11:16, Але wrote: > На мой взгляд, самое простое и в то же время эффективное решение - настройка > сигнатур на стороне провайдерских/датацентровских IDS для исходящего трафика. Любые stateful устройства не масштабируются на более-менее крупных обьемах трафика, а маленькие и не заметят. Анализ sflow помогает, но только уже когда обьемы достаточно заметны. Вообще самая лучшая защита от ддоса - это некомпетентность ддосеров, в 95% случаев при наличии грамотных специалистов и подготовленной реакции ддосы не являются такой уж огромной проблемой. Но в оставшихся 5% случаев простых решений нет и, боюсь, принципиально быть не может. Или почти во всех случаях, если к этому не готовились заранее. Вместе с тем я полностью поддерживаю идею лучшей связности между NOC-ами и удивляюсь, почему RIR-ы еще не обязывают LIR-ов иметь обязательный зарегистрированный канал связи с другими LIR-ами с гарантированным ответом. Периодически появляются идеи на тему "а как бы сделать так, чтобы абузы читали, и noc отвечал", но пока это не будет обязаловкой для всех LIR-ов - не взлетит. _______________________________________________ discuss mailing list [email protected] http://www.enog.org/mailman/listinfo/discuss
