А как бороться с DOS на внешнем интерфейсе?

Обсуждение ПО и его настройки
t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

05 дек 2012, 11:01

Ночью настраивал сервер IP-телефонии, и забыл ограничить перечень адресов, с которыми "можно" общаться серверу. Через 4 часа имел полностью парализованную АТС и полностью забитый внешний канал от каких-то китайских друзей.
Ну ок, хорошо что вся атака с одного адреса, на входе у меня Микротик, сделал правило чтобы все с этого адреса дропалось. АТС отпустило, канал тоже разгрузился, но полмегабита входящего трафика с этого адреса все равно имеем. Т.е. трафик до маршрутизатора моего доходит, и ADSL-канал и так-то крайне не широкий и не особо стабильный забивает наполовину.
Думал-думал, но как-то не очень понимаю, а что в этом случае вообще можно сделать? Буду благодарен советам.


t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

05 дек 2012, 11:19

Спасибо, посмотрел. Собственно - там в основном расписано как определить атаку, а никаких особых средств борьбы кроме того же drop там не предлагается.
Т.е., как я понимаю, это надо провайдера трясти своего, иначе мне от этого трафика никак не избавиться..
Или, все-таки, есть какие-то еще варианты?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

05 дек 2012, 11:25

ну кроме как дропать ничего придумать и нельзя. если цель разгрузить канал от мусора, то вам к апстриму, правда сомневаюсь что они будут заморачиваться ради канала в 1 мбит\с, да еще и бесплатно =)


aliant
Сообщения: 170
Зарегистрирован: 23 май 2012, 08:16
Контактная информация:

05 дек 2012, 11:28

по сылке как я понял находит и дропает на 10 мин но трафик остается


атака по каким портам идет ??


t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

05 дек 2012, 11:37

simpl3x - ну вот и у меня такое же впечатление, что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)
Но, написать попробую. Трафик, сцуко, уже несколько часов так и прет, ровно полмегабита, блин.

aliant - ну да, там описаны всякие хитрые правила, чтоб, значит, не рубануть лишнего.
Я то незайтеливо сделал - chain=forward action=drop src-address=218.17.160.68

>атака по каким портам идет ??
э.. сейчас то я не посмотрю, т.к. трафик дропается и никаких соединений не устанавливает, но изначально все было направлено на порт 5060.


t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

05 дек 2012, 11:38

aliant - в том то и проблема, трафик дропаешь когда он уже ПРИШЕЛ к тебе на интерфейс.


aliant
Сообщения: 170
Зарегистрирован: 23 май 2012, 08:16
Контактная информация:

05 дек 2012, 11:51

надо в инете глянуть можно ли скрыть микротик

пример сканеры и т.п. используют какое то порты включая пинг
если их заблочить ?? хотя эта хз догадки

нету адреса нету взлома


aliant
Сообщения: 170
Зарегистрирован: 23 май 2012, 08:16
Контактная информация:

05 дек 2012, 12:01

t332 писал(а): что вряд ли Ростелеком будет чесаться ради какого-то адсл-линка в дальней деревне... =)



у ростелеком есть (была) функция защиты от ddos но вроде как для юр. лиц


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

05 дек 2012, 12:09

а кстати, попробуйте вместо drop использовать reject и там причину какую нибудь выбирите поинтереснее.


Ответить