Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Flooding и как с ним бороться.

To: <inet-admins@info.east.ru>
Subject: Re: [inet-admins] Flooding и как с ним бороться.
From: "Ilia Zubkov" <mur57@nichego.net>
Date: Mon, 6 Aug 2001 15:12:36 +0400
Delivered-To: inet-2317-ak@frog.east.ru
Delivered-To: inet-admins@info.east.ru
References: <00ee01c11e63$4b7ea0b0$0364a8c0@ccs.ru>

----- Original Message -----
From: "Vladimir Tregub" <vt@ccs.ru>
To: <inet-admins@info.east.ru>
Sent: 6 августа 2001 г. 14:33
Subject: [inet-admins] Flooding и как с ним бороться.

>
> Привет, уважаемые.
>
> Каналы толстые не у всех и хулиганские выходки типа flooding на
> какого-нибудь клиента легко выводят
> из строя всю сеть провайдера (эдакий DoS на всю сеть).
>
> Как против таких атак бороться?
> Есть какая-нибудь методика, рекомендации кроме как "канал расширить"?
>
> Сомнений в том, что это flooding нет: я не могу придумать способа
диалапщику
> запросить с веб-серверов столько информации, что у аплинка переполнятся
> очереди на 4мб канале в сторону провайдера этого диалапшика (очереди
> переполняются настолько, что даже bgp keepalive дохнет).
>
> Адрес атакующего полученный при помощи netflow: 209.85.245.204
> Странно, что в качестве источника используется реальный адрес.
> Причём всегда один и тот же.

1. А как насчет фнукций Firewall Feature Set (ip inspect, ip audit)? Вроде
как раз для этого и делалось. Ну и про запас маршрутизаторов по свичинговой
производительности тоже не следует забывать - часто это бывает более узким
местом.

2. Вот интересен другой подход к вопросу - а как собственно правильно и
_эффективно_ воздействовать на источник? Опыт показывает, что жалобы куда-то
там, в том числе и аплинкам, и владельцам блока источника, и в cert  пр.
помогают как-то крайне вяло и медленно, если вообще помогают. Т.е.
стандартное пожелание клиентов, выражаемое, как правило, в незамысловатой
фразе "найдите гада и убейте", на практике мало коррелирует с реальностью.
:))

3. Заметили тут на днях еще одну хитрую вещь - льется flood где-то 1-2
pkts/sec. на клиента - а в ответ раз в 30 больший поток. Посмотрели - Ах! -
на каждый пакет его виндовый маршрутизатор дает аж 30 отлупов. Стоял
WinRoute, который откровенно глючил, багов и троянов вроде не нашли. :))

--
Sincerely yours,

Ilia Zubkov,
Educational Network technical director

P.S. А в последнее время, и правда, есть впечатление, что flood'ов стало
больше.

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Follow-Ups:
- Re: [inet-admins] Flooding и как с ним бороться.
  - From: Vladimir Tregub

References:
- [inet-admins] Flooding и как с ним бороться.
  - From: Vladimir Tregub

Prev by Date: Re[2]: [inet-admins] Flooding и как с ним бороться.
Next by Date: Re: [inet-admins] Flooding и как с ним бороться.
Previous by thread: Re[2]: [inet-admins] Flooding и как с ним бороться.
Next by thread: Re: [inet-admins] Flooding и как с ним бороться.
Index(es):
- Date
- Thread