Russian Users MikroTik | Форум пользователей MikroTik

Нужно понять природу "флуда". К примеру, если это мультикаст шторм, то провайдер должен отреагировать на жалобу.
Посмотрите снифером на какие адреса идет udp. конкретно на ваш или на броадкаст/мультикаст. Отсюда и плясать нужно.

plin2s писал(а):Смотрите при помощи torch на текущую ситуацию, на какой порт(диапозон портов) идет основной поток флуда.
Навреняка есть какие-то закономерности по портам, на которые ломятся.
Далее делаете правило на drop или reject.

Какие закономерности? Это UDP флуд, все порты закрыты на момент атаки, да и вообще - если порезать весь UDP в самом начале правил фаервола, и свалить его в DROP - ситуация не изменится. Соединения в любом случае влетают в роутер, WAN получает пакеты, и вешает проц в 100%. Если это еще все обрабатывать, то он вообще умрет

nediis писал(а):Нужно понять природу "флуда". К примеру, если это мультикаст шторм, то провайдер должен отреагировать на жалобу.
Посмотрите снифером на какие адреса идет udp. конкретно на ваш или на броадкаст/мультикаст. Отсюда и плясать нужно.

Смотреть снифером не нужно, так как атака смоделирована мной и моим сотрудником. Атака идет непосредственно на мой белый IP, в реальных условиях она будет еще суровее, так как у меня будет крутиться конкурентоспособный контент (но хотя бы от школоты отбиться желание все же есть). В данный момент еще у одного товарища поддерживаю сетку с таким же оборудованием и контентом, флудят безбожно, роутер то и дело успевает перезагружаться.

З.Ы. атаку производим самыми премитивными и легкодоступными средствами типа 'loic'

Нищебродский канал в 50 Мбпс кладет железку со 100 Мбпс каналом за счет тонны пакетов.

Vladislav писал(а):атака смоделирована мной и моим сотрудником

этого в исходных данных не было

Если даже на дропе вы умудряетесь нагрузить проц, то тут выбор очень простой - брать железо круче. Берёте 1100AHx2 и выставляете один камень на обслуживание WAN порта, а иначе какой чудодейственной пилюли вы хотите?

DJGlooM писал(а):Если даже на дропе вы умудряетесь нагрузить проц, то тут выбор очень простой - брать железо круче. Берёте 1100AHx2 и выставляете один камень на обслуживание WAN порта, а иначе какой чудодейственной пилюли вы хотите?

Смею предположить, что и эта железка лопнет... Вы процессор видели? Сейчас больше рассматриваю вариант покупки RouterOS и сбора 4-ех ядерной платформы на Intel с нормальными сетевками... Самый дешевый и действенный вариант как по мне...

Вот тут я как-то не понимаю, как на дропе можно нагрузить железку? Вы в какой цепочке дропаете? Если в forward, то конечно будет железка вешаться, пакеты-то в нее пришли. Дропать нужно в input. Если пакеты с флудом просто не попадают на роутер, как они могут его подвесить?
А вообще, разговор получается беспредметный. В connections посмотрите, по какому порту атака идет. Обычно это по 53 порту ломятся, просто правилом закрываем этот порт в цепочке input на входящем интерфейсе.

podarok66 писал(а):Вот тут я как-то не понимаю, как на дропе можно нагрузить железку? Вы в какой цепочке дропаете? Если в forward, то конечно будет железка вешаться, пакеты-то в нее пришли. Дропать нужно в input. Если пакеты с флудом просто не попадают на роутер, как они могут его подвесить?
А вообще, разговор получается беспредметный. В connections посмотрите, по какому порту атака идет. Обычно это по 53 порту ломятся, просто правилом закрываем этот порт в цепочке input на входящем интерфейсе.

А разве железке не нужен ресурс, что бы этот трафик по средствам фаервола откинуть? :)

З.Ы. ВСЕ ПОРТЫ ЗАКРЫТЫ!

podarok66 писал(а):как на дропе можно нагрузить железку?

Ну вообще-то и input это и есть пакеты пришли на проц. Так, что флудом можно положить.
Эта железка не годится для щита контента, тем более коммерческого.
По цене/фунционалу/расширяемости более приемлимое это pc роутер. На той же Mikrotik RouterOS или любой другой unix.

nediis писал(а):Ну вообще-то и input это и есть пакеты пришли на проц. Так, что флудом можно положить.
Эта железка не годится для щита контента, тем более коммерческого.
По цене/фунционалу/расширяемости более приемлимое это pc роутер. На той же Mikrotik RouterOS или любой другой unix.

Именно так, UDP в любом случае приходит в интерфейс, как не крути, его либо не обрабатывать, либо дропать, либо пропускать, в любом случае железка его принимает, за исключением случая - если перед роутером что то стоит, что умеет этот трафик нормально отфильтровывать и имеет на это достаточный ресурс.