Ночью настраивал сервер IP-телефонии, и забыл ограничить перечень адресов, с которыми "можно" общаться серверу. Через 4 часа имел полностью парализованную АТС и полностью забитый внешний канал от каких-то китайских друзей.
Ну ок, хорошо что вся атака с одного адреса, на входе у меня Микротик, сделал правило чтобы все с этого адреса дропалось. АТС отпустило, канал тоже разгрузился, но полмегабита входящего трафика с этого адреса все равно имеем. Т.е. трафик до маршрутизатора моего доходит, и ADSL-канал и так-то крайне не широкий и не особо стабильный забивает наполовину.
Думал-думал, но как-то не очень понимаю, а что в этом случае вообще можно сделать? Буду благодарен советам.
А как бороться с DOS на внешнем интерфейсе?
-
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
-
- Сообщения: 95
- Зарегистрирован: 21 сен 2012, 00:32
Спасибо, посмотрел. Собственно - там в основном расписано как определить атаку, а никаких особых средств борьбы кроме того же drop там не предлагается.
Т.е., как я понимаю, это надо провайдера трясти своего, иначе мне от этого трафика никак не избавиться..
Или, все-таки, есть какие-то еще варианты?
Т.е., как я понимаю, это надо провайдера трясти своего, иначе мне от этого трафика никак не избавиться..
Или, все-таки, есть какие-то еще варианты?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну кроме как дропать ничего придумать и нельзя. если цель разгрузить канал от мусора, то вам к апстриму, правда сомневаюсь что они будут заморачиваться ради канала в 1 мбит\с, да еще и бесплатно =)
-
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
по сылке как я понял находит и дропает на 10 мин но трафик остается
атака по каким портам идет ??
атака по каким портам идет ??
-
- Сообщения: 95
- Зарегистрирован: 21 сен 2012, 00:32
simpl3x - ну вот и у меня такое же впечатление, что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)
Но, написать попробую. Трафик, сцуко, уже несколько часов так и прет, ровно полмегабита, блин.
aliant - ну да, там описаны всякие хитрые правила, чтоб, значит, не рубануть лишнего.
Я то незайтеливо сделал - chain=forward action=drop src-address=218.17.160.68
>атака по каким портам идет ??
э.. сейчас то я не посмотрю, т.к. трафик дропается и никаких соединений не устанавливает, но изначально все было направлено на порт 5060.
Но, написать попробую. Трафик, сцуко, уже несколько часов так и прет, ровно полмегабита, блин.
aliant - ну да, там описаны всякие хитрые правила, чтоб, значит, не рубануть лишнего.
Я то незайтеливо сделал - chain=forward action=drop src-address=218.17.160.68
>атака по каким портам идет ??
э.. сейчас то я не посмотрю, т.к. трафик дропается и никаких соединений не устанавливает, но изначально все было направлено на порт 5060.
-
- Сообщения: 95
- Зарегистрирован: 21 сен 2012, 00:32
aliant - в том то и проблема, трафик дропаешь когда он уже ПРИШЕЛ к тебе на интерфейс.
-
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
надо в инете глянуть можно ли скрыть микротик
пример сканеры и т.п. используют какое то порты включая пинг
если их заблочить ?? хотя эта хз догадки
нету адреса нету взлома
пример сканеры и т.п. используют какое то порты включая пинг
если их заблочить ?? хотя эта хз догадки
нету адреса нету взлома
-
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
t332 писал(а): что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)
у ростелеком есть (была) функция защиты от ddos но вроде как для юр. лиц
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
а кстати, попробуйте вместо drop использовать reject и там причину какую нибудь выбирите поинтереснее.