proste ataki DoS - router 1941
Re: proste ataki DoS - router 1941
Zdecydowanie tak. Zacznij od a), zanim zaczniesz wydawać pieniądze na b)
Re: proste ataki DoS - router 1941
Przy okazji, możesz spróbować dogadać się z dostawcą na kontrolowane stress testy i zobaczyć, jak przy różnych konfiguracjach sieci się trzyma Twój serwer z filtrowaniem robionym na poziomie Twojego 1941, czy co tam potem wrzucisz. Bawiłem się kiedyś takim pudełkiem do testów: https://www.ixiacom.com/products/perfec ... one-1040ge
Re: proste ataki DoS - router 1941
jestem po rozmowach z moim ISP. niestety nic nie załatwiłem. ISP nie ma wystarczających środków na hardware, który mógłby w inteligenty sposób na "bramce wjazdowej na autostrade" odpierać ataki DDoS. jednocześnie mój ISP stwierdził, ze na takie ataki można złagodzić routerem (podłączonym do ONT-ka) który ma port 10G
Re: proste ataki DoS - router 1941
:D Albo 100G.Tak, to oczywiście jakiś pomysł. Niestety, większe botnety potrafią wygenerować bez problemu ponad Tbit/s ruchu, więc pytanie, kto weźmie Cię na celownik. Jak bawisz się w ochronę DDoS za GPONem, to zakończmy już ten wątek.
Re: proste ataki DoS - router 1941
Swietny ISP.... To jakis lokalny maly gracz czy wiekszy operator? Normalnie to duzi operatorzy maja dedykowane pudelka np. Radware i/lub wspolpracuja z Radware lub innymi firmami posiadajacymi tzw. Scrubbing Center - wysylasz wszelki ruch do nich tunelem GRE i dostajesz odfiltrowany "zdrowy" ruch. Tak to sie robi na wieksza skale. BTW, co do Firepower - tu bylaby opcja tak jak wspomnial Lukasz - odpalasz Radware vDP dekoratora "w lancuchu" przed twoim logicznym firewallem (ASA lub FTD) i vDP efektywnie ci taki DDoS wyfiltruje. Chodzi o urzadzenia z serii 4100, bo na 9300 pewnie nie bedzie twojej firmy stac. Widzialem na prezentacji life Cisco ze dziala to OK. Niemniej tak jak koledzy wspomnieli, nic to nie da bo twoja strona bedzie OK, ale infra operatora zdechnie, co w zalozeniu spelni cel ataku DoS/DDoS.
Jesli faktycznie cierpisz z powodu czestych i powaznych DoS/DDoS, to polecam zmiane operatora na takiego, ktory z tematyka mierzy sie nie od wczoraj i ma doswiadczenie. A z twojej strony oczywiscie musi byc na taki krok przygotowany odpowiedni budzet
Pozdruffka!
Jesli faktycznie cierpisz z powodu czestych i powaznych DoS/DDoS, to polecam zmiane operatora na takiego, ktory z tematyka mierzy sie nie od wczoraj i ma doswiadczenie. A z twojej strony oczywiscie musi byc na taki krok przygotowany odpowiedni budzet
Pozdruffka!
Re: proste ataki DoS - router 1941
tak. to lokalny operator w malej miejscowości. jedyne co może mi zaoferować to "blackhole" - czyli jak rozumiem chwilowe odcięcie od internetu.
nie, nie mam częstych i powaznych Dos/DDos. To - jak pisałem wcześniej - jest sporadyczne i zajmuje sie tym konkurencja mojego kilkunastoletniego syna, którzy korzystają z powszechnie dostępnych darmowych stron www oferujących takie "usługi".
Zatem zakładam, ze te darmowe usługi sa na tyle okrojone, ze można sobie jakoś dać rade zwiększając moc przetwarzania (wymieniając mydleniczke 1941)
nie, nie mam częstych i powaznych Dos/DDos. To - jak pisałem wcześniej - jest sporadyczne i zajmuje sie tym konkurencja mojego kilkunastoletniego syna, którzy korzystają z powszechnie dostępnych darmowych stron www oferujących takie "usługi".
Zatem zakładam, ze te darmowe usługi sa na tyle okrojone, ze można sobie jakoś dać rade zwiększając moc przetwarzania (wymieniając mydleniczke 1941)
Re: proste ataki DoS - router 1941
Nadal uparcie odmawiasz zrozumienia sedna problemu, nie przeszkadza Ci to jednak w obrażaniu dobrego routera ISR "mydelniczką" i szukaniu rozwiązania nie tam, gdzie jest sedno problemu. Zrozum - jak Ci zapchają łącze to ono pozostanie zapchane. Ile ruchu odbierzesz i obsłużysz, tyle oni wygenerują. I zawsze będą w stanie generować go ponad przepustowość Twojego łącza.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: proste ataki DoS - router 1941
Kyniu, dziękuję z dodatkowe wyjaśnienia.
uwazam, ze zrozumialem sedno problemu - pomocny byl Twoj poprzedni post o autostradach.
mam do wyboru:
a) nie robić nic, licząc na ograniczona wydajność mojego obecnego urządzenia (prawa autorskie do "mydelniczki" nalezą do autoryzowanego partnera cisco, od którego kupiłem to urządzenie 6 lat temu)
b) szukać alternatywnych/komplementarnych/niedoskonalych rozwiazan, które beda minimalizować/czasami zapobiegać atakom
albo inaczej:
co Ty tys zrobil, nie mając szansy zmiany ISP ?
uwazam, ze zrozumialem sedno problemu - pomocny byl Twoj poprzedni post o autostradach.
mam do wyboru:
a) nie robić nic, licząc na ograniczona wydajność mojego obecnego urządzenia (prawa autorskie do "mydelniczki" nalezą do autoryzowanego partnera cisco, od którego kupiłem to urządzenie 6 lat temu)
b) szukać alternatywnych/komplementarnych/niedoskonalych rozwiazan, które beda minimalizować/czasami zapobiegać atakom
albo inaczej:
co Ty tys zrobil, nie mając szansy zmiany ISP ?
Re: proste ataki DoS - router 1941
Wszelkiej maści serwery trzymałbym w miejscu temu przeznaczonym a nie w domu.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: proste ataki DoS - router 1941
Kyniu, licze na zrozumienie mojej sytuacji, a nie szablonowa odpowiedz. w każdym innym przypadku szkoda - przede wszystkim - Twojego czasu
Re: proste ataki DoS - router 1941
And800 mitygacja ddos to nie jest wbrew pozorom trywialny temat, który ogarniesz chałupniczymi metodami. Trudno się tutaj nie zgodzic z kyniem w temacie kolokacji serwera gdzieś indziej w twoim przypadku
Re: proste ataki DoS - router 1941
@and800: pytanie, czy ten Minecraft to "zabawa", czy na tym jakoś zarabiasz (reklamy? nie znam się).
Jeśli to pierwsze - dokonfiguruj sobie CoPP, co nic w (D)DoSie Ci nie pomoże, ale też nie zaszkodzi. A DDoSy po prostu olej - skoro, jak sam mówisz, jest to sporadyczne, po prostu syn będzie miał krzywą minę i tyle.
Jeśli to drugie - pomyśl nad odpaleniem tego Minecrafta "u kogoś", nie u siebie (o czym wspomniał Kyniu). Jest mnóstwo hostingów, VPSów (virtual private server - czyli ktoś Ci daje wirtualną maszynę a Ty nią już zarządzasz), jedne oferty są droższe, inne tańsze - ale to oni będą sobie radzić z tymi DDoSami (z reguły potrafią).
A ten "blackhole" to z reguły oznacza, że to wysyłający wpada do "czarnej dziury" (u ISP, zanim jeszcze do Ciebie ruch dojdzie), a inni nadal mogą się do Twojej strony/usługi dostać. Problem może być natomiast taki, że źle zrobiony blackhole "wydziuruje" zbyt dużą część internetu i nikt do Ciebie się nie dostanie :)
Jeśli to pierwsze - dokonfiguruj sobie CoPP, co nic w (D)DoSie Ci nie pomoże, ale też nie zaszkodzi. A DDoSy po prostu olej - skoro, jak sam mówisz, jest to sporadyczne, po prostu syn będzie miał krzywą minę i tyle.
Jeśli to drugie - pomyśl nad odpaleniem tego Minecrafta "u kogoś", nie u siebie (o czym wspomniał Kyniu). Jest mnóstwo hostingów, VPSów (virtual private server - czyli ktoś Ci daje wirtualną maszynę a Ty nią już zarządzasz), jedne oferty są droższe, inne tańsze - ale to oni będą sobie radzić z tymi DDoSami (z reguły potrafią).
A ten "blackhole" to z reguły oznacza, że to wysyłający wpada do "czarnej dziury" (u ISP, zanim jeszcze do Ciebie ruch dojdzie), a inni nadal mogą się do Twojej strony/usługi dostać. Problem może być natomiast taki, że źle zrobiony blackhole "wydziuruje" zbyt dużą część internetu i nikt do Ciebie się nie dostanie :)
Re: proste ataki DoS - router 1941
hej, konradrz, dziękuję bardzo. zatem zaczynam nie doktoryzować w CoPP.
tak, ten minecraft to zabawa mojego syna - oczywiscie mój syn twierdzi, ze beda na tym duuuuuuze pieniądze. jako ojciec nie zbijam go z tropu
tak, ten minecraft to zabawa mojego syna - oczywiscie mój syn twierdzi, ze beda na tym duuuuuuze pieniądze. jako ojciec nie zbijam go z tropu
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: proste ataki DoS - router 1941
lol
skoro duza kasa na stole, zleć komuś kto się zna
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: proste ataki DoS - router 1941
Jeśli chce faktycznie stawiać serwer i na nim zarabiać, to z własnej praktyki powiem Ci od razu, żebyś inwestował w kolokację u kogoś, kto ma ochronę DDoSową. Konkurencyjni posiadacze serwerów i ich wielbiciele będą na pewno "próbować" Twój serwer, a jeśli to łącze domowe, masz internet z głowy. Coś jak polski IRC w latach 90'tych.
Postawiłem swoim synom serwer minecrafta w kolokacji i mimo tego, że jest prywatny i teoretycznie grają tylko z kolegami, od czasu do czasu zdarzy się jakiś mały DDoSik.