> > Каналы толстые не у всех и хулиганские выходки типа flooding на
> > какого-нибудь клиента легко выводят
> > из строя всю сеть провайдера (эдакий DoS на всю сеть).
> >
> > Как против таких атак бороться?
> > Есть какая-нибудь методика, рекомендации кроме как "канал расширить"?
> >
> > Сомнений в том, что это flooding нет: я не могу придумать способа
> диалапщику
> > запросить с веб-серверов столько информации, что у аплинка переполнятся
> > очереди на 4мб канале в сторону провайдера этого диалапшика (очереди
> > переполняются настолько, что даже bgp keepalive дохнет).
> >
> > Адрес атакующего полученный при помощи netflow: 209.85.245.204
> > Странно, что в качестве источника используется реальный адрес.
> > Причём всегда один и тот же.
>
> 1. А как насчет фнукций Firewall Feature Set (ip inspect, ip audit)? Вроде
> как раз для этого и делалось.
Хм... мы такие не пользуем. Обходимся Netfltools ;) Нормальный такой
анализатор IP-заголовков.
Конктерно данную атаку мы разглядели по составляющим:
http://fiqus.ccs.ru/flood.lst
Это фотография за пять минут. Там хорошо видно, что прошлись по случайным
портам и по ICMP.
А что толку. Насколько я могу понять, это не очень похоже на обычную
перекачку файла.
Ибо, во-превых - переменный адрес порта получателя (frequency hopping port
?-),
во-вторых - диалапшик уже давно отвалился (ну не может он получать с такой
скоростью - захлёбывается ;) а IP - посылки всё идут,
в третьих для такого потока не достаточно одного безумного squid - нужен ещё
и канал толстый (принцип медленного старта TCP не позволяет с ходу в алюр),
а тут признаков squid нет, адрес получателя - dialup-щик.
> 2. Вот интересен другой подход к вопросу - а как собственно правильно и
> _эффективно_ воздействовать на источник? Опыт показывает, что жалобы
куда-то
> там, в том числе и аплинкам, и владельцам блока источника, и в cert пр.
> помогают как-то крайне вяло и медленно, если вообще помогают. Т.е.
> стандартное пожелание клиентов, выражаемое, как правило, в незамысловатой
> фразе "найдите гада и убейте", на практике мало коррелирует с реальностью.
Согласен. Хотя зависит от сознательности админов на аплинках и на
интерфнациональных провайдерах.
BTW, заочное спасибо им ;)
> 3. Заметили тут на днях еще одну хитрую вещь - льется flood где-то 1-2
> pkts/sec. на клиента - а в ответ раз в 30 больший поток. Посмотрели -
Ах! -
> на каждый пакет его виндовый маршрутизатор дает аж 30 отлупов. Стоял
> WinRoute, который откровенно глючил, багов и троянов вроде не нашли. :))
бывает, бывает. так же может "отомстить" взглючивший ip-stack
> P.S. А в последнее время, и правда, есть впечатление, что flood'ов стало
> больше.
каналы на западе расширяются imho ;)
С уважением,
Vladimir Tregub (VT60-RIPE)
CCS NOC
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html