UDP флуд на 2011UAS-2HnD-IN, как бороться?

Обсуждение оборудования и его настройки
Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

Dragon_Knight писал(а):Vladislav, Я вот не понимаю. Вы ищите заветную галочку, нажав на которую атакующий компьютер друга сразу взорвётся? Или нажав на которую у бедненького AR9344 измениться архитектура и вырастет дополнительно 31 ядро?
Хотите избавиться от атаки, возьмите кусачки и перекусите сетевой провод. Гарантированно пропадёт трафик и нагрузка на процессор.... И это не сарказм.


Я тоже нашел "верняк", режем брандвич на порту, теряем интЫрнет (так как канал весь забивается), за то нагрузки 0 ;;-)))


nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

Кстати дешевле сервера (нормального) будет перед микротиком поставить коммутатор управляемый операторского класса (из не дорогих dlink,qtech) и включить на uplink порту unicast/broadcast/multicast storm, заодно и от возможных проблем провайдера прикроетесь. Хотя для полноты оценки выбора нужно отталкиваться от популярности публикуемого ресурса.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Тогда уж не коммутатор, а специально придуманную для этого железку - фаервол. Аппаратный фаервол будет в разы производительнее и выдержит бОльшую нагрузку.
А то как то странно требовать от универсальной железки за 5 тыр. чего-то серьезного. Цена на полноценные фаерволы, которые справятся с желаемой нагрузкой, начинается от 50+ тысяч. Опять таки, никто не мешает сделать его софтовым, но на более производительном железе.
И не забывайте, что если трафик вы сможете так или иначе дропать, то канал все равно будет забит и из-вне сервис будет недоступен.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Vladislav, покурите в сторону тарпит, может что интересное получиться.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

Dragon_Knight писал(а):Vladislav, покурите в сторону тарпит, может что интересное получиться.


TCP тарпитом обрезал, а вот с UDP история немного другого характера.
По всей видимости по средствам самой железки уже ни как не справиться.
Нет у нее такого ресурса, не для защиты она... Когда складывается от 30к p/s


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

plin2s писал(а):Тогда уж не коммутатор, а специально придуманную для этого железку - фаервол. Аппаратный фаервол будет в разы производительнее и выдержит бОльшую нагрузку.
А то как то странно требовать от универсальной железки за 5 тыр. чего-то серьезного. Цена на полноценные фаерволы, которые справятся с желаемой нагрузкой, начинается от 50+ тысяч. Опять таки, никто не мешает сделать его софтовым, но на более производительном железе.
И не забывайте, что если трафик вы сможете так или иначе дропать, то канал все равно будет забит и из-вне сервис будет недоступен.


Я думаю гигабитки по оптике будет достаточно, от школяров спасет, буду думать в сторону поднятия виртуалки на сервере и покупки роутерос.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Vladislav, гигабит эта железка даже в режиме бридж не пропустит.
Если проект серьёзный, то курите в сторону Cloud Core Router.
Я сам когда созрею и подключу несколько гигибитных канал, буду брать Cloud Core Router 1036-12G-4S-EM


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить