Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Vladislav писал(а):Сейчас больше рассматриваю вариант покупки RouterOS и сбора 4-ех ядерной платформы на Intel с нормальными сетевками... Самый дешевый и действенный вариант как по мне...
Самый дешевый вариант это виртуальный микрот на ESX среди прочей инфраструктуры. У мен яварятся несоклько штук, не жрут вообще ничего. Спокойно докидываются процессора, память. В плане совместимости по железу и надёжности - офигенный вариант. ESXi на HCL железе, зеркала, можно даже SSD если бюджет позволяет, тонна памяти и поехали...
Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму
Нет, ну конечно, писать что-то на основе умных мыслей это круто. А что, если всё же что-то сделать на деле? Вот при работающем правиле дропа пакетов на 53 порт. Обратите внимание на загрузку процессора и время: А вот прямо через несколько секунд при отключенном правиле: Флуд идет именно на 53 порт, протокол - udp. По поводу того, что грузит процессор, а что нет. Пакет, который отброшен на цепочке input не обрабатывается в маршрутизаторе. Он просто отброшен. Нагрузка на железо минимальна. Изучите если не документацию, то хотя бы схему движения http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... acket_Flow
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Дело то в том, что флудить могут НА ЛЮБОЙ порт, НА ЛЮБОЙ! хоть на 65535 З.Ы. И если бы вы читали, то заметили бы, что атаку я моделирую с товарищем сам, с его удаленного ПК. Аля проводим тестирование оборудования, которое ну ни как не справляется даже с одним бомже-компьютером.
несомненно дропнутые пакеты создают меньше нагрузку на проц, т.к. их путь по железке короткий, более того это очевидно, но это не отменяет создание ими нагрузки, вопрос только в их количестве
в случае дропа причем тут номер порта... грузить будет одинаково номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком) 53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис
nediis писал(а):в случае дропа причем тут номер порта... грузить будет одинаково номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком) 53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис
Вот и я не пойму, зачем мне так усердно втирают 53 порт :) В то время когда все порты закрыты и через них нет ни каких пробросов в данный момент.
Vladislav писал(а):Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму
Вы мсье так паритесь сетевухами будто ISP открываете. Хватит обычных двухпортовых интеловых на pci-e шину. Сколько напихаете столько и будете роутить. Ставить микрот на vmware workstation можно, но чисто эмпирически ESX удобней намного и проще в бэкапе и миграции\развертке. Шустрые дисковые винты уж точно подобной машине ни к чему, SSD - желательно, а так хоть на флешке будет жить, конфигурация создана, подгружена в память и живет в ней, ей пофигу на диск в общем то.
Vladislav, Я вот не понимаю. Вы ищите заветную галочку, нажав на которую атакующий компьютер друга сразу взорвётся? Или нажав на которую у бедненького AR9344 измениться архитектура и вырастет дополнительно 31 ядро? Хотите избавиться от атаки, возьмите кусачки и перекусите сетевой провод. Гарантированно пропадёт трафик и нагрузка на процессор.... И это не сарказм.
Защита от атак это дело не простое, и если от одиночной атаки можно защититься написав 2-4 правила, то универсальную защиту от распределённой атаки написать невозможно.
Что касается 53 порта, то проц нагружает не трафик а DNS сервер.
Небольшой свод правил логики и ссылок:
Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).