Всем привет!
Люто двачую за рейт лимитинг амплифицирующих портов от клиентов и жму руку.
Это очень эффективный и при этом недеструктивный способ сокращения потоков зловредного трафика летящих из сетей.
Аналогичный подход можно использовать и для входящего трафика, чтобы не заливать уровень аксеса гигабитами паразитного трафика.
On Wednesday, 14 October 2015, Yura Scheglyuk yura-ml@rikt.ru wrote:
Hi!
On 13.10.2015 21:25, Sergey Myasoedov wrote:
Таким образом, усмирение атаки сводится к простому алгоритму:
- Атакуемый оператор составляет список атакующих его адресов и загружает
в систему. 2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления. 3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих ПК и т.д.. Все, атака захлебнулась.... =)))
Вы забыли про четвёртый пункт:
- Отключенный клиент уходит к другому провайдеру.
Проходили это на своём опыте. Сначала тех.поддержка звонила заражённому клиенту и предупреждала о проблеме, рекомендовали установить антивирус. 95% абонентов просто забивала на это. Пробовали отключать особо заражённых клиентов - посыпались жалобы и угрозы уйти (и уходы) к другому провайдеру. У нас SCE, пробовали заражённым клиентам показывать страничку с предупреждением - тоже игнорировали.
Сейчас ограничили общую полосу NTP и DNS трафика, так что если и будет штормить, то не во всю мощь.
-- С уважением, Щеглюк Юрий
discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss