Страница 1 из 4
А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:01
t332
Ночью настраивал сервер IP-телефонии, и забыл ограничить перечень адресов, с которыми "можно" общаться серверу. Через 4 часа имел полностью парализованную АТС и полностью забитый внешний канал от каких-то китайских друзей.
Ну ок, хорошо что вся атака с одного адреса, на входе у меня Микротик, сделал правило чтобы все с этого адреса дропалось. АТС отпустило, канал тоже разгрузился, но полмегабита входящего трафика с этого адреса все равно имеем. Т.е. трафик до маршрутизатора моего доходит, и ADSL-канал и так-то крайне не широкий и не особо стабильный забивает наполовину.
Думал-думал, но как-то не очень понимаю, а что в этом случае вообще можно сделать? Буду благодарен советам.
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:10
aliant
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:19
t332
Спасибо, посмотрел. Собственно - там в основном расписано как определить атаку, а никаких особых средств борьбы кроме того же drop там не предлагается.
Т.е., как я понимаю, это надо провайдера трясти своего, иначе мне от этого трафика никак не избавиться..
Или, все-таки, есть какие-то еще варианты?
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:25
simpl3x
ну кроме как дропать ничего придумать и нельзя. если цель разгрузить канал от мусора, то вам к апстриму, правда сомневаюсь что они будут заморачиваться ради канала в 1 мбит\с, да еще и бесплатно =)
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:28
aliant
по сылке как я понял находит и дропает на 10 мин но трафик остается
атака по каким портам идет ??
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:37
t332
simpl3x - ну вот и у меня такое же впечатление, что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)
Но, написать попробую. Трафик, сцуко, уже несколько часов так и прет, ровно полмегабита, блин.
aliant - ну да, там описаны всякие хитрые правила, чтоб, значит, не рубануть лишнего.
Я то незайтеливо сделал - chain=forward action=drop src-address=218.17.160.68
>атака по каким портам идет ??
э.. сейчас то я не посмотрю, т.к. трафик дропается и никаких соединений не устанавливает, но изначально все было направлено на порт 5060.
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:38
t332
aliant - в том то и проблема, трафик дропаешь когда он уже ПРИШЕЛ к тебе на интерфейс.
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 11:51
aliant
надо в инете глянуть можно ли скрыть микротик
пример сканеры и т.п. используют какое то порты включая пинг
если их заблочить ?? хотя эта хз догадки
нету адреса нету взлома
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 12:01
aliant
t332 писал(а): что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)
у ростелеком есть (была) функция защиты от ddos но вроде как для юр. лиц
Re: А как бороться с DOS на внешнем интерфейсе?
Добавлено: 05 дек 2012, 12:09
simpl3x
а кстати, попробуйте вместо drop использовать reject и там причину какую нибудь выбирите поинтереснее.