Всем привет. На мой взгляд, самое простое и в то же время эффективное решение - настройка сигнатур на стороне провайдерских/датацентровских IDS для исходящего трафика. Главным образом - рейтлимит вот этого : https://www.us-cert.gov/ncas/alerts/TA14-017A Ну и, разумеется, запрет спуфинга + мониторинг своей сети на предмет аномалий наряду с адекватной настройкой лимитов. И не нужны никакие дополнительные телодвижения и решения вроде Cloud-based DDoS Mitigation от Arbor :)
14.10.2015, 11:03, "Yura Scheglyuk" yura-ml@rikt.ru:
Hi!
On 13.10.2015 21:25, Sergey Myasoedov wrote:
Таким образом, усмирение атаки сводится к простому алгоритму: 1) Атакуемый оператор составляет список атакующих его адресов и загружает в систему. 2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления. 3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих ПК и т.д.. Все, атака захлебнулась.... =)))
Вы забыли про четвёртый пункт:
- Отключенный клиент уходит к другому провайдеру.
Проходили это на своём опыте. Сначала тех.поддержка звонила заражённому клиенту и предупреждала о проблеме, рекомендовали установить антивирус. 95% абонентов просто забивала на это. Пробовали отключать особо заражённых клиентов - посыпались жалобы и угрозы уйти (и уходы) к другому провайдеру. У нас SCE, пробовали заражённым клиентам показывать страничку с предупреждением - тоже игнорировали.
Сейчас ограничили общую полосу NTP и DNS трафика, так что если и будет штормить, то не во всю мощь.
-- С уважением, Щеглюк Юрий
discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss