RE: [inet-admins] flood атака

["Ilya Balashov" <tsw@sovam.com>]

А кто-нибудь реально пытался обращаться с такими просьбами к большим и
не русским провайдерам ???
Весь мой опыт показывает, что C&W, ebone, sprintlink, level3 просто
игнорируют подобные просьбы... В лучшем случае говорят, что мы будем
рады предоставить вам interface up to STM16/OC48 for unfriendly flooding
protection.

> -----Original Message-----
> From: inet-admins@info.east.ru 
> [mailto:inet-admins@info.east.ru] On Behalf Of Dmitri Kalintsev
> Sent: Friday, November 09, 2001 12:35 AM
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] flood атака
> 
> 
> Во-первых, фильтр tcp & udp port 0 -> port 0 должен стоять у 
> всех на вход по умолчанию, как часть best practice. В том 
> числе, у вашего апстрима. Дайте ему по голове и скажите, 
> чтобы вкрутил. Если будет упираться, мотивируя тем, что не 
> знает, что это такое или тем, что фильтры ему будут рутер 
> грузить - вы попали на плохого провайдера. И попали в general terms.
> 
> Во-вторых, netflow и mrtg  - ваши друзья. На их основе можно 
> легко увидеть, что вас атаковали (обычно подскакивает packets 
> per second и flows/sec) и реагировать быстро. Реакция 
> заключается в основном в установке фильтров на входе и 
> извещении апстрима с просьбой оттрейсить или зафильтровать, в 
> зависимости от серьёзности атаки.
> 
> В-третьих, если у вас на входе оборудование циско, то ip 
> verify unicast reverse-path тоже ваш друг. В случае с 
> мультихомностью полезно хотя бы "ip verify unicast source 
> reachable-via any allow-self-ping" .
> 
> Дальше - читайте Cisco IOS essentials и иже с ним.
> 
> http://www.cisco.com/public/cons/isp/documents/
> 
> SY,
> --
>  CCNP, CCDP (R&S)                          Dmitri E. Kalintsev
>  CDPlayer@irc               Network Architect @ connect.com.au
>  dek @ connect.com.au    phone: +61 3 9674 3913 fax: 9251 3666
>  http://-UNAVAIL-         UIN:7150410  mobile: +61 414 821 382
> 
> ----- Original Message -----
> From: "Vladimir Kravchenko" <jimson@mostcom.ru>
> To: <inet-admins@info.east.ru>
> Sent: 9 ноября 2001 г. 0:47
> Subject: [inet-admins] flood атака
> 
> 
> >
> > Имею довольно непрятную ситуацию - за несколько часов ночью 
> выплеснули 
> > около 10G трафика по всей вероятности udp с src port 0 на 
> dst port 0, 
> > src ip штатовских сетей, например, одни из адресов из MCI-NETCS5.
> >
> > Интерсует опыт решения такого рода проблем, защиты от таких атак и 
> > опыт решения комерческих вопросов. Узел ISP у нас совсем недавно 
> > построен и трафик как правило не превышает 10G в месяц, возникают 
> > понятные проблемы.
> >
> > Есть ли опыт глобальной защиты от такого рода атак как то 
> запрещение 
> > хождения udp/icmp на указанные блоки адресов и запрещения 
> не локально 
> > (когда он уже и так пришел), а где-то-там-далеко, или провайдеры не 
> > идут на такое меры ?
> > --
> > Vladimir Kravchenko / PK Mostcom JSC / system engineer
> > Tel: +7 095 4360522 / UIN: 132038843 / Email: jimson@mostcom.ru
> 
> 
> 
> ==============================================================
> ===============
> "inet-admins" Internet access mailing list. Maintained by 
> East Connection ISP. Mail "unsubscribe inet-admins" to 
> Majordomo@info.east.ru if you want to quit. Archive is 
> accessible on http://info.east.ru/rus/inetadm.html
> 
zъзvh╖ЁР'╣ЙГzж°qК,≥╗╔┼x%┼кЪ1╗╖╣╗╖yжР╚-
┴Гyкb╒r?С┼_Н·к⌡╠йБmХ╖zъзvh╖ЁШh1╗Х╜з&ёЬ╖~▐чjкЪ╝Х÷й▀╟j{m╒╚╒╥П+r╞z+qг╛╡&Еz┴А╤зЪЪЬ╖~▐чjкЪ╝ОК╨оБ²КZvoА