On 14.10.2015 11:03, Pavel Odintsov wrote:
Люто двачую за рейт лимитинг амплифицирующих портов от клиентов и жму руку.
Это очень эффективный и при этом недеструктивный способ сокращения потоков зловредного трафика летящих из сетей.
Аналогичный подход можно использовать и для входящего трафика, чтобы не заливать уровень аксеса гигабитами паразитного трафика.
Ограничили на доступе клиенту мегабит исходящего dns/ntp/ssdp трафика, на выходе вылилась сотня-две мегабит, на входе атакуемому все равно десятки гигабит, потому что провайдер не один. Ботнеты щас весьма развесистые, куда той клюкве.
Поможет, но только против самых бакланистых ддосеров с парой подломанных машин.
On 14.10.2015 08:30, Sergey Afonin wrote:
Вот потому и отключать, что, во-первых, пониженная скорость не спасёт жертву (когда атака будет идти с сотен и тысяч хостов, они сделают плохо и на маленькой скорости), а, во-вторых, многие просто не будут торопиться что-от делать.
Вот именно поэтому.
On 14.10.2015 11:04, Валерий Солдатов wrote:
Антиспуф контролировать несложно, а польза от него большая.
On 14.10.2015 11:05, Sergey Myasoedov wrote:
BCP38/BCP84 - это не война с абонентами, это гигиена в собственной сети.
Сильно зависит от реализации. Если спуфленые пакеты фильтровать еще на доступе - то да, польза большая. А если просто на выходе из своей сети дропать пакеты с не своим src - то тогда просто спуф пойдет по всему адресному пространству этого оператора, я такое уже встречал.
On 14.10.2015 11:16, Але wrote:
На мой взгляд, самое простое и в то же время эффективное решение - настройка сигнатур на стороне провайдерских/датацентровских IDS для исходящего трафика.
Любые stateful устройства не масштабируются на более-менее крупных обьемах трафика, а маленькие и не заметят. Анализ sflow помогает, но только уже когда обьемы достаточно заметны.
Вообще самая лучшая защита от ддоса - это некомпетентность ддосеров, в 95% случаев при наличии грамотных специалистов и подготовленной реакции ддосы не являются такой уж огромной проблемой. Но в оставшихся 5% случаев простых решений нет и, боюсь, принципиально быть не может. Или почти во всех случаях, если к этому не готовились заранее.
Вместе с тем я полностью поддерживаю идею лучшей связности между NOC-ами и удивляюсь, почему RIR-ы еще не обязывают LIR-ов иметь обязательный зарегистрированный канал связи с другими LIR-ами с гарантированным ответом. Периодически появляются идеи на тему "а как бы сделать так, чтобы абузы читали, и noc отвечал", но пока это не будет обязаловкой для всех LIR-ов - не взлетит.