ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] flood атака

Во-первых, фильтр tcp & udp port 0 -> port 0 должен стоять у всех на вход по
умолчанию, как часть best practice. В том числе, у вашего апстрима. Дайте ему
по голове и скажите, чтобы вкрутил. Если будет упираться, мотивируя тем, что
не знает, что это такое или тем, что фильтры ему будут рутер грузить - вы
попали на плохого провайдера. И попали в general terms.

Во-вторых, netflow и mrtg  - ваши друзья. На их основе можно легко увидеть,
что вас атаковали (обычно подскакивает packets per second и flows/sec) и
реагировать быстро. Реакция заключается в основном в установке фильтров на
входе и извещении апстрима с просьбой оттрейсить или зафильтровать, в
зависимости от серьёзности атаки.

В-третьих, если у вас на входе оборудование циско, то ip verify unicast
reverse-path тоже ваш друг. В случае с мультихомностью полезно хотя бы "ip
verify unicast source reachable-via any allow-self-ping" .

Дальше - читайте Cisco IOS essentials и иже с ним.

http://www.cisco.com/public/cons/isp/documents/

SY,
--
 CCNP, CCDP (R&S)                          Dmitri E. Kalintsev
 CDPlayer@irc               Network Architect @ connect.com.au
 dek @ connect.com.au    phone: +61 3 9674 3913 fax: 9251 3666
 http://-UNAVAIL-         UIN:7150410  mobile: +61 414 821 382

----- Original Message -----
From: "Vladimir Kravchenko" <jimson@mostcom.ru>
To: <inet-admins@info.east.ru>
Sent: 9 ноября 2001 г. 0:47
Subject: [inet-admins] flood атака


>
> Имею довольно непрятную ситуацию - за несколько часов ночью выплеснули
> около 10G трафика по всей вероятности udp с src port 0 на dst port 0, src
> ip штатовских сетей, например, одни из адресов из MCI-NETCS5.
>
> Интерсует опыт решения такого рода проблем, защиты от таких атак и опыт
> решения комерческих вопросов. Узел ISP у нас совсем недавно построен и
> трафик как правило не превышает 10G в месяц, возникают понятные проблемы.
>
> Есть ли опыт глобальной защиты от такого рода атак как то запрещение
> хождения udp/icmp на указанные блоки адресов и запрещения не локально
> (когда он уже и так пришел), а где-то-там-далеко, или провайдеры не идут на
> такое меры ?
> --
> Vladimir Kravchenko / PK Mostcom JSC / system engineer
> Tel: +7 095 4360522 / UIN: 132038843 / Email: jimson@mostcom.ru



=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

 



Copyright © Lexa Software, 1996-2009.