Борьба с DDoS атаками в сети (возможно использование HardWare Firewall)

Борьба с ДДОС - это уровень провайдеров. Никакими средствами конечной точки ты забитый канал не освободишь.

Только блокировка на уровне провайдера IP адреса клиента на которого ведется атака поможет? Это долгий процесс :(

Ну так и атаки могут продолжаться сутки. Было дело, ддосили какого-то клиента нашего провайдера. Попали под раздачу все клиенты провайдера. Суток трое-четверо были сложности с Сетью.

Даже Hardware Firewall что ли не сможет блокировать пакеты атакующего? Не пробовал его еще.

Пакеты УЖЕ ЗАБИЛИ КАНАЛ. Какая к хреням блокировка, если у тебя КАНАЛ ЗАБИТ.

Это понятно)

Добро, если так.

Пакеты размером 1783294MB.

Чем замерял?

http://habrahabr.ru/company/jugru/blog/217543/ - охотно делимся.

Пакеты с поддельным SRC IP, например, не имеет смысла блокировать по SRC IP.

а что на счёт этого https://github.com/FastVPSEestiOu/fastnetmon ?

DDoS

А что именно за DDoS? DDoS DDoSу рознь, syn-flood еще можно отбить на бордере

Пакеты размером 1783294MB

Пакеты размером в 1.7 терабайта? Это как вообще?

ой, простите, ошибся.
это количество пакетов такое.
на бордере, интересно каким образом)

syn-flood?

Ну, на пример, можно ограничить макс количество syn-пакетов в секунду.

Бороться нужно на стороне провайдера и в кооперации с провайдером.

1. Если канал _уже_ забит никакие меры на стороне клиента не помогут.

2. Если атака забивает сервисы (а канал справляется) то определенный смысл в различных решениях на стороне клиента есть - но это должна быть не одна волшебная коробка, которая сделает зашибись, а комплекс мер. Firewall, что бы чистить/ограничивать syn и др. пакеты, м.б. application firewall-ы для чистки трафика приложений, RTBH, IPS и т.п. Всё это желательно в кооперации с провайдером, т.к. атаки далеко не всегда строго DDoS - чаще с каких-то AS льётся сильнее - и именно их трафик на стороне провайдера можно блекхолить. Опять же у провайдера больше ресурсов на threat analysis и поиск C&C серверов очередного ботнета.

а что на счёт этого https://github.com/FastVPSEestiOu/fastnetmon ?

Эта хрень периодически блокирует NAT-пулы больших провайдеров просто потому, что оттуда могут быть всплески вполне легитимного трафика.

Bash cкриптом

Единственный вариант пока выдернуть сетевой кабель))

И самый надежный имхо

1.познакомиться с техспецами провайдеров города

2.узнать где кто работает

3.контракт с одной из контор

4.иметь прямой контакт тех спецов своего кабеля в лайве

5.совмесно фиксить как только начинается ддос-у себя дропать пакеты для своего софта и не давать зависнуть софту,у спецов на кабеле-блочить ипишники

это все стоит сотни тыщ баксов,ибо никто из спецов не станет работать бесплатно

все крупные мероприятия с трансляциями в интернет(премьеры,спорт/киберспорт стадионные события...) имеют такие связи и фиксят все в режиме лайв,естественно уходят миллионы в день

а что по факту-ты из провинции где все д-уны,никакиз техспецов там нет и небыло,если нужен качественный сервис для твоего предприятия(ибо запросы твои уровня предприятия)-переезжай в крупный город,там такие сервисы есть

Странно, что никто не порекомендовал построить свою AS и арендовать 2 иль более аплинков. При этом, чисто теоретически можно не регестрировать саму AS, а взять в аренду бордер у знакомого провайдера и через него лить свой трафик.

По деньгам может выйти даже дешевле, чем услуги защитников DDoS.

Дешевле не будет из-за низкой эффективности.

Весь смысл этих «услуг» в том смысле, что выделяется двойная и более полоса. Если делать руками, то того же эффекта можно добиться вычислением атакующих IP-шников (ну явно не все из страны хостера) и использование DNS-зон/AS-ок. Атакующий остается на старом аплинке, честные клиенты переводятся на резервный аплинк путем DNS-зон/AS-ок (geo-ip, country ru, например). И все, пусть доссят до посинения. Даже не поймут почему сайт еще не сдох (или увидят, что для них сдох, то отстанут).

Это так, для примера, где ничего фантастичного нету. И автоматизировать несложно. Можно изначально так распределить трафик (россия через ап1, остальной мир через ап2), тогда ддос вообще будет малоэффективен.

А если еще окажется, что все идет через РФ, то плохиша можно будет найти и отправить на пожизненную инвалидность лично. Язык для надежности отрезать. И руки отрубить. Фотки в твиттер выложить, чтобы все понимали, что будет со следующим плохишом. Эффективность 200%.

https://www.skyparkcdn.ru/