Страница 4 из 4
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 00:26
Vladislav
Dragon_Knight писал(а):Vladislav, Я вот не понимаю. Вы ищите заветную галочку, нажав на которую атакующий компьютер друга сразу взорвётся? Или нажав на которую у бедненького AR9344 измениться архитектура и вырастет дополнительно 31 ядро?
Хотите избавиться от атаки, возьмите кусачки и перекусите сетевой провод. Гарантированно пропадёт трафик и нагрузка на процессор.... И это не сарказм.
Я тоже нашел "верняк", режем брандвич на порту, теряем интЫрнет (так как канал весь забивается), за то нагрузки 0
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 02:32
nediis
Кстати дешевле сервера (нормального) будет перед микротиком поставить коммутатор управляемый операторского класса (из не дорогих dlink,qtech) и включить на uplink порту unicast/broadcast/multicast storm, заодно и от возможных проблем провайдера прикроетесь. Хотя для полноты оценки выбора нужно отталкиваться от популярности публикуемого ресурса.
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 07:01
plin2s
Тогда уж не коммутатор, а специально придуманную для этого железку - фаервол. Аппаратный фаервол будет в разы производительнее и выдержит бОльшую нагрузку.
А то как то странно требовать от универсальной железки за 5 тыр. чего-то серьезного. Цена на полноценные фаерволы, которые справятся с желаемой нагрузкой, начинается от 50+ тысяч. Опять таки, никто не мешает сделать его софтовым, но на более производительном железе.
И не забывайте, что если трафик вы сможете так или иначе дропать, то канал все равно будет забит и из-вне сервис будет недоступен.
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 12:09
Dragon_Knight
Vladislav, покурите в сторону тарпит, может что интересное получиться.
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 13:59
Vladislav
Dragon_Knight писал(а):Vladislav, покурите в сторону тарпит, может что интересное получиться.
TCP тарпитом обрезал, а вот с UDP история немного другого характера.
По всей видимости по средствам самой железки уже ни как не справиться.
Нет у нее такого ресурса, не для защиты она... Когда складывается от 30к p/s
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 15:11
Vladislav
plin2s писал(а):Тогда уж не коммутатор, а специально придуманную для этого железку - фаервол. Аппаратный фаервол будет в разы производительнее и выдержит бОльшую нагрузку.
А то как то странно требовать от универсальной железки за 5 тыр. чего-то серьезного. Цена на полноценные фаерволы, которые справятся с желаемой нагрузкой, начинается от 50+ тысяч. Опять таки, никто не мешает сделать его софтовым, но на более производительном железе.
И не забывайте, что если трафик вы сможете так или иначе дропать, то канал все равно будет забит и из-вне сервис будет недоступен.
Я думаю гигабитки по оптике будет достаточно, от школяров спасет, буду думать в сторону поднятия виртуалки на сервере и покупки роутерос.
Re: UDP флуд на 2011UAS-2HnD-IN, как бороться?
Добавлено: 12 дек 2013, 17:00
Dragon_Knight
Vladislav, гигабит эта железка даже в режиме бридж не пропустит.
Если проект серьёзный, то курите в сторону Cloud Core Router.
Я сам когда созрею и подключу несколько гигибитных канал, буду брать Cloud Core Router 1036-12G-4S-EM