DDOS, обсуждение



  • Доброго дня, пытаюсь реализовать защиту от ddos. Из явных методов вижу смысл в:
    1. С помощью FW в нужный момент ограничить SYNflood атаки;
    2. С помощью FW настроить Rate limit;
    3. правила Snort;
    4. Подготовить списки CIDR стран мира.

    Собственно интересует, чем можно еще штатным и не только увеличить шансы противодействия ddos.
    И да, пока в тупике куда внести списки cidr, найти в конфиг-файле подраздел allias и там вставить эти нужные диапазоны стран мира. Или в snort загрузить, или pfblock поставить и уже туда. Интересует Какой вариант лучше отработает с таким большим объемом файлов(например cidr USA почти 50000 строк\сегментов сети).



  • Доброе.
    Suricata. После установки и настройки требуется немного ее "обучить".



  • @werter:

    Доброе.
    Suricata. После установки и настройки требуется немного ее "обучить".

    Почитал про нее, весчЬ, приятно было узнать, что это от создателей snort, но более производительнее.

    Тема закрыта. временно ;D



  • @werter:

    Доброе.
    Suricata. После установки и настройки требуется немного ее "обучить".

    а вы её реально пробовали? я пробовал. Против ддоса нет никакой защиты у pf-а, нужно брать реально мощное железо и всё.
    Меня обваливали простым сканом портов, правда сканировщиков было порядка 10к.
    Вся проблема в том - что даже просто fw занимает процессорное время. И никак ты тут не выкрутишься. Сурикат/снорт раком нагнёт машину.

    Была идея купить что нибудеть профессиональное против ддоса, типа циски-чего-там, но самое простое и эффективное - просто перекинуть нагрузку на другой pf



  • 2 derwin
    10к ддосеров у меня не было. Но в логах четко видно, что тех кто сканит порты сурикат блочит на раз буквально с 1-ой их попытки.



  • если тебя понастоящему ддосят, то тебе проще выключить машину, отключить от сети и почитать логи уже на стенде ))))



  • но самое простое и эффективное - просто перекинуть нагрузку на другой pf

    В итоге, какое железо справилось с такой атакой, если не секрет?



  • Опять же DDOS может работать на неск. уровнях OSI - на транспортном, на уровне приложений и др. - https://firstvds.ru/technology/types-of-ddos#possibilities
    Если у вас ddos-ят веб-сервер, к-ый нах-ся за pf, то защита настраивается на этом веб-сервере. И лучше вообще этот веб-сервер локально не размещать.
    Сейчас приличные облачные сервисы с защитой от ddos стоят оч. недорого.