Аналогичный подход можно использовать и для входящего трафика, чтобы не заливать уровень аксеса гигабитами паразитного трафика.

On Wednesday, 14 October 2015, Yura Scheglyuk <yura-ml@rikt.ru> wrote:

Hi!

On 13.10.2015 21:25, Sergey Myasoedov wrote:

Таким образом, усмирение атаки сводится к простому алгоритму:
1) Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих
ПК и т.д..
Все, атака захлебнулась.... =)))

Вы забыли про четвёртый пункт:

4. Отключенный клиент уходит к другому провайдеру.

Проходили это на своём опыте. Сначала тех.поддержка звонила заражённому клиенту и предупреждала о проблеме, рекомендовали установить антивирус. 95% абонентов просто забивала на это. Пробовали отключать особо заражённых клиентов - посыпались жалобы и угрозы уйти (и уходы) к другому провайдеру. У нас SCE, пробовали заражённым клиентам показывать страничку с предупреждением - тоже игнорировали.

Сейчас ограничили общую полосу NTP и DNS трафика, так что если и будет штормить, то не во всю мощь.

--
С уважением, Щеглюк Юрий

_______________________________________________
discuss mailing list
discuss@enog.org
http://www.enog.org/mailman/listinfo/discuss