Marcin Kuczera pisze:
>> Od 14 godzin jedno z moich łącz zalewane jest pakietami UDP z dwóch
>> zagranicznych hostów.
>> Dzwoniłem wczoraj, wysyłałem maile (wczoraj normalny dzień roboczy był) i
>> prócz telefonów, że "administrator zostanie powiadomiony" nie zrobiono
>> nic.
>> Ile czasu w normalnej firmie trwa wycięcie takiego ruchu?
>> W chwili obecnej szukam już innego dostawcy, bo z tą firmę tak jak kiedyś
>> chwaliłem tak teraz konkurencji bym nie polecił.
>
> No widzisz, to nie jest takie proste. Ostatnio ataki są tak rozproszone, że
> przemiata z różnych SRC IP, miesza portami itd - także DST potrafi
> przelecieć
> się po kilkuset adresach. Wtedy nie bardzo można cokolwiek zrobić - jedynie
> ratelimit założyć na zestaw adresów DST, ale.. nie każdy router to potrafi
> zrobić.
> Np. duże junipery mogę nie mieć tej funkcjonalności - zależy od interfejsu
> czy jest za 100tyś pln czy za 300tyś pln.
>
> Ciekawie jest jak masz fajnego dostawce i sam się limitujesz i zajmujesz
> floodami.
> U nas ostatnio na łączu 100Mbit (interfejs 1Gbit) przyszedł flood taki, ze
> statystyka
> skoczyła do 750Mbit... router nawet nie drgnął - a atak sami wycieliśmy.
> - Platforma Tyan NR16 z 2xXeon 3.2GHz - Linux 2.6.20 inside.
> Oczywiście zero conntracka i innych libpcapowych aplikacji, za to BGP czyli
> duża tablica.
>
> Marcin
>
>

o godzinie 14 wycieli mi te 3 ip i przesłałem kolejne 2 których nie
wycięli, bo nie generowały ruchu jak powiedziałem ze maja je wyciąć bo
one robią 1k pakietów to usłyszałem ze admin pojechał i będzie za 5
godzin. Atak był z 5 ip. Od zgłoszenia do wycięcia minęło 21 godzin.
Gdyby nie było drugiego łącza to aż strach pomyśleć.