proste ataki DoS - router 1941

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 372
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: proste ataki DoS - router 1941

#16

#16 Post autor: konradrz »

Zdecydowanie tak. Zacznij od a), zanim zaczniesz wydawać pieniądze na b)

DawidS28
wannabe
wannabe
Posty: 144
Rejestracja: 09 paź 2010, 22:10
Lokalizacja: Kraków
Kontakt:

Re: proste ataki DoS - router 1941

#17

#17 Post autor: DawidS28 »

Przy okazji, możesz spróbować dogadać się z dostawcą na kontrolowane stress testy i zobaczyć, jak przy różnych konfiguracjach sieci się trzyma Twój serwer z filtrowaniem robionym na poziomie Twojego 1941, czy co tam potem wrzucisz. Bawiłem się kiedyś takim pudełkiem do testów: https://www.ixiacom.com/products/perfec ... one-1040ge

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#18

#18 Post autor: and800 »

jestem po rozmowach z moim ISP. niestety nic nie załatwiłem. ISP nie ma wystarczających środków na hardware, który mógłby w inteligenty sposób na "bramce wjazdowej na autostrade" odpierać ataki DDoS. jednocześnie mój ISP stwierdził, ze na takie ataki można złagodzić routerem (podłączonym do ONT-ka) który ma port 10G

lbromirs
CCIE
CCIE
Posty: 4089
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#19

#19 Post autor: lbromirs »

:D Albo 100G.Tak, to oczywiście jakiś pomysł. Niestety, większe botnety potrafią wygenerować bez problemu ponad Tbit/s ruchu, więc pytanie, kto weźmie Cię na celownik. Jak bawisz się w ochronę DDoS za GPONem, to zakończmy już ten wątek.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1568
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: proste ataki DoS - router 1941

#20

#20 Post autor: drake »

Swietny ISP.... ;) To jakis lokalny maly gracz czy wiekszy operator? Normalnie to duzi operatorzy maja dedykowane pudelka np. Radware i/lub wspolpracuja z Radware lub innymi firmami posiadajacymi tzw. Scrubbing Center - wysylasz wszelki ruch do nich tunelem GRE i dostajesz odfiltrowany "zdrowy" ruch. Tak to sie robi na wieksza skale. BTW, co do Firepower - tu bylaby opcja tak jak wspomnial Lukasz - odpalasz Radware vDP dekoratora "w lancuchu" przed twoim logicznym firewallem (ASA lub FTD) i vDP efektywnie ci taki DDoS wyfiltruje. Chodzi o urzadzenia z serii 4100, bo na 9300 pewnie nie bedzie twojej firmy stac. Widzialem na prezentacji life Cisco ze dziala to OK. Niemniej tak jak koledzy wspomnieli, nic to nie da bo twoja strona bedzie OK, ale infra operatora zdechnie, co w zalozeniu spelni cel ataku DoS/DDoS.
Jesli faktycznie cierpisz z powodu czestych i powaznych DoS/DDoS, to polecam zmiane operatora na takiego, ktory z tematyka mierzy sie nie od wczoraj i ma doswiadczenie. A z twojej strony oczywiscie musi byc na taki krok przygotowany odpowiedni budzet :)

Pozdruffka!
Never stop exploring :)

https://iverion.de

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#21

#21 Post autor: and800 »

tak. to lokalny operator w malej miejscowości. jedyne co może mi zaoferować to "blackhole" - czyli jak rozumiem chwilowe odcięcie od internetu.
nie, nie mam częstych i powaznych Dos/DDos. To - jak pisałem wcześniej - jest sporadyczne i zajmuje sie tym konkurencja mojego kilkunastoletniego syna, którzy korzystają z powszechnie dostępnych darmowych stron www oferujących takie "usługi".
Zatem zakładam, ze te darmowe usługi sa na tyle okrojone, ze można sobie jakoś dać rade zwiększając moc przetwarzania (wymieniając mydleniczke 1941)

Kyniu
wannabe
wannabe
Posty: 3535
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: proste ataki DoS - router 1941

#22

#22 Post autor: Kyniu »

and800 pisze: 09 kwie 2020, 09:50 Zatem zakładam, ze te darmowe usługi sa na tyle okrojone, ze można sobie jakoś dać rade zwiększając moc przetwarzania (wymieniając mydleniczke 1941)
Nadal uparcie odmawiasz zrozumienia sedna problemu, nie przeszkadza Ci to jednak w obrażaniu dobrego routera ISR "mydelniczką" i szukaniu rozwiązania nie tam, gdzie jest sedno problemu. Zrozum - jak Ci zapchają łącze to ono pozostanie zapchane. Ile ruchu odbierzesz i obsłużysz, tyle oni wygenerują. I zawsze będą w stanie generować go ponad przepustowość Twojego łącza.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#23

#23 Post autor: and800 »

Kyniu, dziękuję z dodatkowe wyjaśnienia.
uwazam, ze zrozumialem sedno problemu - pomocny byl Twoj poprzedni post o autostradach.

mam do wyboru:
a) nie robić nic, licząc na ograniczona wydajność mojego obecnego urządzenia (prawa autorskie do "mydelniczki" nalezą do autoryzowanego partnera cisco, od którego kupiłem to urządzenie 6 lat temu)
b) szukać alternatywnych/komplementarnych/niedoskonalych rozwiazan, które beda minimalizować/czasami zapobiegać atakom


albo inaczej:
co Ty tys zrobil, nie mając szansy zmiany ISP ?

Kyniu
wannabe
wannabe
Posty: 3535
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: proste ataki DoS - router 1941

#24

#24 Post autor: Kyniu »

and800 pisze: 09 kwie 2020, 14:31 co Ty tys zrobil, nie mając szansy zmiany ISP ?
Wszelkiej maści serwery trzymałbym w miejscu temu przeznaczonym a nie w domu.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#25

#25 Post autor: and800 »

Kyniu, licze na zrozumienie mojej sytuacji, a nie szablonowa odpowiedz. w każdym innym przypadku szkoda - przede wszystkim - Twojego czasu

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 294
Rejestracja: 28 paź 2008, 12:24

Re: proste ataki DoS - router 1941

#26

#26 Post autor: scoon »

And800 mitygacja ddos to nie jest wbrew pozorom trywialny temat, który ogarniesz chałupniczymi metodami. Trudno się tutaj nie zgodzic z kyniem w temacie kolokacji serwera gdzieś indziej w twoim przypadku

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 372
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: proste ataki DoS - router 1941

#27

#27 Post autor: konradrz »

@and800: pytanie, czy ten Minecraft to "zabawa", czy na tym jakoś zarabiasz (reklamy? nie znam się).
Jeśli to pierwsze - dokonfiguruj sobie CoPP, co nic w (D)DoSie Ci nie pomoże, ale też nie zaszkodzi. A DDoSy po prostu olej - skoro, jak sam mówisz, jest to sporadyczne, po prostu syn będzie miał krzywą minę i tyle.
Jeśli to drugie - pomyśl nad odpaleniem tego Minecrafta "u kogoś", nie u siebie (o czym wspomniał Kyniu). Jest mnóstwo hostingów, VPSów (virtual private server - czyli ktoś Ci daje wirtualną maszynę a Ty nią już zarządzasz), jedne oferty są droższe, inne tańsze - ale to oni będą sobie radzić z tymi DDoSami (z reguły potrafią).

A ten "blackhole" to z reguły oznacza, że to wysyłający wpada do "czarnej dziury" (u ISP, zanim jeszcze do Ciebie ruch dojdzie), a inni nadal mogą się do Twojej strony/usługi dostać. Problem może być natomiast taki, że źle zrobiony blackhole "wydziuruje" zbyt dużą część internetu i nikt do Ciebie się nie dostanie :)

and800
wannabe
wannabe
Posty: 56
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#28

#28 Post autor: and800 »

hej, konradrz, dziękuję bardzo. zatem zaczynam nie doktoryzować w CoPP.
tak, ten minecraft to zabawa mojego syna - oczywiscie mój syn twierdzi, ze beda na tym duuuuuuze pieniądze. jako ojciec nie zbijam go z tropu :-)

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: proste ataki DoS - router 1941

#29

#29 Post autor: PatrykW »

and800 pisze: 10 kwie 2020, 17:43 hej, konradrz, dziękuję bardzo. zatem zaczynam nie doktoryzować w CoPP.
tak, ten minecraft to zabawa mojego syna - oczywiscie mój syn twierdzi, ze beda na tym duuuuuuze pieniądze. jako ojciec nie zbijam go z tropu :-)
lol
skoro duza kasa na stole, zleć komuś kto się zna :)
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

lbromirs
CCIE
CCIE
Posty: 4089
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#30

#30 Post autor: lbromirs »

and800 pisze: 10 kwie 2020, 17:43 hej, konradrz, dziękuję bardzo. zatem zaczynam nie doktoryzować w CoPP.
tak, ten minecraft to zabawa mojego syna - oczywiscie mój syn twierdzi, ze beda na tym duuuuuuze pieniądze. jako ojciec nie zbijam go z tropu :-)
Jeśli chce faktycznie stawiać serwer i na nim zarabiać, to z własnej praktyki powiem Ci od razu, żebyś inwestował w kolokację u kogoś, kto ma ochronę DDoSową. Konkurencyjni posiadacze serwerów i ich wielbiciele będą na pewno "próbować" Twój serwer, a jeśli to łącze domowe, masz internet z głowy. Coś jak polski IRC w latach 90'tych.

Postawiłem swoim synom serwer minecrafta w kolokacji i mimo tego, że jest prywatny i teoretycznie grają tylko z kolegami, od czasu do czasu zdarzy się jakiś mały DDoSik.

ODPOWIEDZ