Przemyslaw Frasunek pisze:

>> rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam
>> powody sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak
>> szybko i ma
>
> dlaczego maja sie nie zmienic? z moich smutnych doswiadczen wynika, ze
> ddosnety w wiekszosci sie skladaja z maszyn o dynamicznym ip.

Masz rację, ale pomogłoby to doraźnie. Idioci z DDoS-netami też mają
jakieśtam swoje (idiotyczne) powody, więc zazwyczaj nie walą dzień w dzień.
Np. ten tutaj (jak się później dowiedziałem) psuł jakiś kanał na IRC-u i
wyłączył wszystkich operatorów na 4h. Możnaby więc wyciąć to choćby na 1
dzień.

Po za tym zwróć uwagę na to, że ów specjalista nie zaproponował żadnego
innego rozwiązania. Cały czas powtarzał, że może zablokować dst-port bo nie
będzie blokował iluśtam src-ip i to koniec jego inwencji.

>> Pewnie dobrze się bawili, a jedna z moich maszynek była przez 4h
>> odłączona od świata (98-99% loss).
>
> coz, widywalem ddosy o wolumenie 200-300 mbit. w momencie, gdy zrodel jest
> kilkadziesiat tysiecy, blokowanie po src-ip jest baardzo uciazliwe.
> pozostaje tylko rate-limit na dst-ip lub port, co sila rzeczy tez bedzie
> skutkowac nieosiagalnoscia hosta/portu.

Nie przekonywałem do blokowania akurat po src, tylko do zrobienia
czegokolwiek. Nie chciałem sugerować konkretnych rozwiązań, bo nie wiem
jakie tam mają możliwości. Wiem natomiast, że wcześniej sobie radzili w
identycznych sytuacjach więc są w stanie to zrobić. :)

Tak jak napisałem w innym poście osobiście uwazam, ze świetnym
zabezpieczeniem przed tcp-syn floodem jest rate-limit na tcp-syn po src-ip
odnoszący się do minut (nie np. sekund), najlepiej osobne regułki dla
newralgicznych portów ale niekoniecznie. Jestem przekonany, że specjalnie
by ich to nie obciążyło, przecież DDoS-owana jest napewno zdecydowana
mniejszość klientów, więc mogliby włączać takie filtry tylko tym, którzy
tego potrzebują.

--
Neas, ?eas@?eas.pl, http://www.neas.pl