Re: specjalista - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › specjalista › Re: specjalista

Message-ID: <6307441.YpbqAdYtNY@latitude>
From: Neas <n...@n...invalid>
Subject: Re: specjalista
Newsgroups: pl.internet.polip
Date: Wed, 11 May 2005 12:35:10 +0200
References: <2382567.siTsP2s9SH@latitude>
<s...@t...icm.edu.pl>
Lines: 40
User-Agent: KNode/0.9.0
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8Bit
NNTP-Posting-Host: 80.55.25.186
X-Trace: news.home.net.pl 1115807907 80.55.25.186 (11 May 2005 12:38:27 +0200)
Organization: home.pl news server
X-Authenticated-User: n...@p...pl
Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.nask.pl!nf1.ipartners.pl!ipartn
ers.pl!news.home.net.pl!not-for-mail
Xref: news-archive.icm.edu.pl pl.internet.polip:72271
[ ukryj nagłówki ]
Maciej Anczura pisze:

> Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
> -- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
> i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
> ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
słyszał).

Po drugie to ich problem, nie mój. IMHO powinni mieć filtry na routerach
brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
o idzie do danego IP.

Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
(duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
klientów do jakichś g*.

Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
takiego to po prostu skandal.

--
Neas, ?eas@?eas.pl, http://www.neas.pl