Hello Ilya,
Friday, November 09, 2001, 11:12:49 AM, you wrote:
IB> А кто-нибудь реально пытался обращаться с такими просьбами к большим и
IB> не русским провайдерам ???
IB> Весь мой опыт показывает, что C&W, ebone, sprintlink, level3 просто
IB> игнорируют подобные просьбы... В лучшем случае говорят, что мы будем
IB> рады предоставить вам interface up to STM16/OC48 for unfriendly flooding
IB> protection.
>> -----Original Message-----
>> From: inet-admins@info.east.ru
>> [mailto:inet-admins@info.east.ru] On Behalf Of Dmitri Kalintsev
>> Sent: Friday, November 09, 2001 12:35 AM
>> To: inet-admins@info.east.ru
>> Subject: Re: [inet-admins] flood атака
>>
>>
>> Во-первых, фильтр tcp & udp port 0 -> port 0 должен стоять у
>> всех на вход по умолчанию, как часть best practice. В том
>> числе, у вашего апстрима. Дайте ему по голове и скажите,
>> чтобы вкрутил. Если будет упираться, мотивируя тем, что не
>> знает, что это такое или тем, что фильтры ему будут рутер
>> грузить - вы попали на плохого провайдера. И попали в general terms.
>>
>> Во-вторых, netflow и mrtg - ваши друзья. На их основе можно
>> легко увидеть, что вас атаковали (обычно подскакивает packets
>> per second и flows/sec) и реагировать быстро. Реакция
>> заключается в основном в установке фильтров на входе и
>> извещении апстрима с просьбой оттрейсить или зафильтровать, в
>> зависимости от серьёзности атаки.
>>
>> В-третьих, если у вас на входе оборудование циско, то ip
>> verify unicast reverse-path тоже ваш друг. В случае с
>> мультихомностью полезно хотя бы "ip verify unicast source
>> reachable-via any allow-self-ping" .
>>
>> Дальше - читайте Cisco IOS essentials и иже с ним.
>>
>>
>>
>> SY,
>> --
>> CCNP, CCDP (R&S) Dmitri E. Kalintsev
>> CDPlayer@irc Network Architect @ connect.com.au
>> dek @ connect.com.au phone: +61 3 9674 3913 fax: 9251 3666
>> UIN:7150410 mobile: +61 414 821 382
>>
>> ----- Original Message -----
>> From: "Vladimir Kravchenko" <jimson@mostcom.ru>
>> To: <inet-admins@info.east.ru>
>> Sent: 9 ноября 2001 г. 0:47
>> Subject: [inet-admins] flood атака
>>
>>
>> >
>> > Имею довольно непрятную ситуацию - за несколько часов ночью
>> выплеснули
>> > около 10G трафика по всей вероятности udp с src port 0 на
>> dst port 0,
>> > src ip штатовских сетей, например, одни из адресов из MCI-NETCS5.
>> >
>> > Интерсует опыт решения такого рода проблем, защиты от таких атак и
>> > опыт решения комерческих вопросов. Узел ISP у нас совсем недавно
>> > построен и трафик как правило не превышает 10G в месяц, возникают
>> > понятные проблемы.
>> >
>> > Есть ли опыт глобальной защиты от такого рода атак как то
>> запрещение
>> > хождения udp/icmp на указанные блоки адресов и запрещения
>> не локально
>> > (когда он уже и так пришел), а где-то-там-далеко, или провайдеры не
>> > идут на такое меры ?
>> > --
>> > Vladimir Kravchenko / PK Mostcom JSC / system engineer
>> > Tel: +7 095 4360522 / UIN: 132038843 / Email: jimson@mostcom.ru
>>
>>
>>
>> ==============================================================
>> ===============
>> "inet-admins" Internet access mailing list. Maintained by
>> East Connection ISP. Mail "unsubscribe inet-admins" to
>> Majordomo@info.east.ru if you want to quit. Archive is
>> accessible on
>>
Обращались. Первое время долго приходилось объснять и писать много
писем, но теперь мы видимо перешли в другую весовую категорию для них
и реакция на просьбу закрыть флуд стала быстрой. Но в любом случае
если наши клиенты жалуются и флуд есть, то для начала закрываем у себя
и клиент за этот трафик не платит, а дальше по цепочке наверх.
-------
С уважением,
Овсянников Василий
тел. +7 095 334-9983
тел/факс +7 095 339-2415
Best regards,
Vasily Ovsiannikov
tel. +7 095 334-9983
tel/fax +7 095 339-2415
NOC ROSTELECOM mailto:noc@rt.ru
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
