Ddos



  • Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense



  • @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    Snort ?

    Установка и настройка - http://bruteforcer.ru/index.php/2009/11/19/ustanovka-i-nastrojka-idsips-snort-v-pfsense/

    ![Categories .jpg](/public/imported_attachments/1/Categories .jpg)
    ![Categories .jpg_thumb](/public/imported_attachments/1/Categories .jpg_thumb)



  • ну и что? snort определяет кривые пакеты, а если ddos идет на уровне протокола? то есть кучей тупых запросов



  • Тут советуют к испу обратиться попробывать.. ну еще из гугла пару ссылок дают :)



  • исп посылает лесом



  • @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    Вот что-то про это http://dd0s.blogspot.com/
    Так же можно попробовать поиграться публичным прокси.



  • чего-то snort не обновляется и не запускается :\



  • @zar0ku1:

    исп посылает лесом

    заява в правоохранительные органы, + прикладываете обращение к испу… и исп долго и нудно обясняет органам почему вас послал... еще, если это не исп первого уровня в вашей стране- то можно обратиться к вышестоящему испу...



  • @alexandrnew:

    заява в правоохранительные органы, + прикладываете обращение к испу… и исп долго и нудно обясняет органам почему вас послал... еще, если это не исп первого уровня в вашей стране- то можно обратиться к вышестоящему испу...

    очень смешно, и долго они будут что-то искать?

    ИСП далеко не вышестоящий, еще как минимум два сверху

    по делу есть что?



  • по делу, если
    @zar0ku1:

    ну и что? snort определяет кривые пакеты, а если ddos идет на уровне протокола? то есть кучей тупых запросов

    количество пакетов на вход, с одного ипа ограничить - не? известные ипы (свои) - исключить, остальные - лимит…



  • @alexandrnew:

    по делу, если
    количество пакетов на вход, с одного ипа ограничить - не? известные ипы (свои) - исключить, остальные - лимит…

    если можно пример, и как бороться с длинными запросами?



  • http://www.ddosexpert.ru/
    до 100Мб/с обещают бесплатную защиту



  • @rubic:

    http://www.ddosexpert.ru/
    до 100Мб/с обещают бесплатную защиту

    проблема основная в том что ресурс расположен у нас на острове, у нас очень дорогой канал на материк,

    все антиддосы проксируют трафик через себя - для нас это недопустимо



  • @zar0ku1:

    проблема основная в том что ресурс расположен у нас на острове, у нас очень дорогой канал на материк,

    во! если ваш непосредственный исп - тоже на осторве - то ему и не выгодно вас защищать от ддос… так как за траф платить придется ему, а так вы платите...не исключено - что ддос - заказан им же...
    решения я уже написал:
    -обращение вышестоящему испу (достаточно быстро)
    -обращение в органы (если заказ вашего испа - то 99% что как только откроют дело, а он об этом узнает, атака прекратится)
    и могу добавить третье решение - поставьте сервак на колокейшн..



  • как бы вы не защитились - это максимум защитит ваш сервер, но не спасет от трафика..



  • @alexandrnew:

    во! если ваш непосредственный исп - тоже на осторве - то ему и не выгодно вас защищать от ддос… так как за траф платить придется ему, а так вы платите...не исключено - что ддос - заказан им же...
    решения я уже написал:
    -обращение вышестоящему испу (достаточно быстро)
    -обращение в органы (если заказ вашего испа - то 99% что как только откроют дело, а он об этом узнает, атака прекратится)
    и могу добавить третье решение - поставьте сервак на колокейшн..

    1. как узнать вышестоящего испа? ттк, синтера, рткомм? и что им писать, ребята нас досят?
    2. колокейшн куда?

    я никак не думаю что это пров, платим мы не за трафик, а за канал



  • @alexandrnew:

    как бы вы не защитились - это максимум защитит ваш сервер, но не спасет от трафика..

    трафика какого?



  • трафика который будет идти по вашему каналу.
    если защита у исп -то трафик и режется у исп, а ваш канал свободен. если защита у вас - вам просто положат канал.
    вообще - определитесь что и отчего хотите защитить.
    вариантов масса, почему не вариант проксировать трафик?  не хотите у кого-то проксируйте у себя. обновляйте сервер, фильтруйте на нем запросы. способов много.



  • @alexandrnew:

    трафика который будет идти по вашему каналу.
    если защита у исп -то трафик и режется у исп, а ваш канал свободен. если защита у вас - вам просто положат канал.
    вообще - определитесь что и отчего хотите защитить.
    вариантов масса, почему не вариант проксировать трафик?  не хотите у кого-то проксируйте у себя. обновляйте сервер, фильтруйте на нем запросы. способов много.

    вы говорите прям элементарные вещи, вода-вода… по сути что есть?

    проксировать - потому что с острова пойдет трафик - а это уже отказ от клиентов

    вот последний пункт поподробнее:
    обновляйте сервер - обновлять до чего?
    фильтруйте запросы - каким образом? соственно вернулись опять с того с чего и начали :)



  • @zar0ku1:

    вы говорите прям элементарные вещи, вода-вода… по сути что есть?

    каков вопрос, таков ответ, на ваш ответ модно было ответить - спросите у гугла - отеты будут точно такие же, поверьте.
    вы не предоставляете никакой конкретики, вам ее и не дают в ответах. как вам можно подсказать - если вы даже не указали какая  ос на вашем сервере, какого типа трафик и тд.

    вот вам два ответа от гугла, что такое дос, и как защититься: никакой конкретики, так как неизвестно от чего защищаться.а варианты ответов - по сути - теже…
    http://ru.wikipedia.org/wiki/DoS-атака
    http://www.internet-technologies.ru/articles/article_436.html

    посему если хотите что бы вам помогли - то конкретно и спросите. по конкретной ситуации.

    з.ы. по проксированию - я написал - сделайте у себя, не вижу в этом проблем (apache reverse proxy, ISA (Microsoft Forefront UAG (IAG) )



  • @alexandrnew:

    каков вопрос, таков ответ, на ваш ответ модно было ответить - спросите у гугла - отеты будут точно такие же, поверьте.
    вы не предоставляете никакой конкретики, вам ее и не дают в ответах. как вам можно подсказать - если вы даже не указали какая  ос на вашем сервере, какого типа трафик и тд.

    вот вам два ответа от гугла, что такое дос, и как защититься: никакой конкретики, так как неизвестно от чего защищаться.а варианты ответов - по сути - теже…
    http://ru.wikipedia.org/wiki/DoS-атака
    http://www.internet-technologies.ru/articles/article_436.html

    посему если хотите что бы вам помогли - то конкретно и спросите. по конкретной ситуации.

    з.ы. по проксированию - я написал - сделайте у себя, не вижу в этом проблем (apache reverse proxy, ISA (Microsoft Forefront UAG (IAG) )

    в моем случае хочу поставить АСА… но пока денег тратить не хочется, поэтому проксей пока будет pfsense (все это умозаключение, которые вы выдали можно было понять с первого поста)
    и возвращаемся к моему первому вопросу... тадамм:

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense



  • @zar0ku1:

    в моем случае хочу поставить АСА… но пока денег тратить не хочется, поэтому проксей пока будет pfsense (все это умозаключение, которые вы выдали можно было понять с первого поста)
    и возвращаемся к моему первому вопросу... тадамм:

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    та вы шо? и что с вашего поста понятно? ос? какой вебсервер? какая атака?
    попробуйте проксировать и фильтровать апачем запросы к asp iis, я бы на это посмотрел…..
    не вижу смысла больше отвечать. покупайте что хотите. не факт что поможет.



  • @alexandrnew:

    та вы шо? и что с вашего поста понятно? ос? какой вебсервер? какая атака?
    попробуйте проксировать и фильтровать апачем запросы к asp iis, я бы на это посмотрел…..
    не вижу смысла больше отвечать. покупайте что хотите. не факт что поможет.

    не видишь - не отвечай, пожалуйста, не засоряй тему и всем будет от этого только лучше

    кстати да по серверной части:
    front: nginx (cache + static)
    back: apache + php

    ось FreeBSD 7.2



  • А что за вид атаки?
    http://www.compn.ru/



  • @dvserg:

    А что за вид атаки?
    http://www.compn.ru/

    фильтрация через их оборудование - не годится, и не надо советовать такие службы :))

    то как, то синфлуд, то длинными, то просто кучей запросов в поиск итп, вообщем повсякому… хочу просто собрать дистриб универсально прокаченный так сказать :)



  • Я не советую, это гугл навел на описалово разных ддосов.
    В зависимости от его типа защита и делается - для синфлуда один тип, для коннектов другой.

    Для защиты от синфлуда делают ограничение количества входящих синпакетов в единицу времени с одного хоста в правилах.
    Для коннектов - кидают их в медленную очередь, т.к. если просто отфутболить - последует очередной коннект.
    Примерно так.

    Лучше всего, конечно, автоматизировать процесс готовым решением.

    http://www.bre.ru/security/1862.html

    Механизм контроля полосы пропускания поддерживается Cisco роутерами. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux. 
    

    Хорошая статья, можно сделать на pfSense 2.0
    http://www.opennet.ru/base/net/stop_dos.txt.html



  • @dvserg:

    Я не советую, это гугл навел на описалово разных ддосов.
    В зависимости от его типа защита и делается - для синфлуда один тип, для коннектов другой.

    Для защиты от синфлуда делают ограничение количества входящих синпакетов в единицу времени с одного хоста в правилах.
    Для коннектов - кидают их в медленную очередь, т.к. если просто отфутболить - последует очередной коннект.
    Примерно так.

    Лучше всего, конечно, автоматизировать процесс готовым решением.

    http://www.bre.ru/security/1862.html

    Механизм контроля полосы пропускания поддерживается Cisco роутерами. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux. 
    

    Хорошая статья, можно сделать на pfSense 2.0
    http://www.opennet.ru/base/net/stop_dos.txt.html

    да в гугле я сам поискать могу, меня интересовал скорее опыт людей :)
    про циску я писал выше, что не против купить АСА



  • Хех.. опытные люди на pfSense не сидять. Им по силам и по карману иные решения.



  • @dvserg:

    Хех.. опытные люди на pfSense не сидять. Им по силам и по карману иные решения.

    хехе, верно подмечено, но потом это хозяйство надо кому-то передать (я лишь только помогаю) да и бюджет не мой :)



  • меня больше интересовало, что за agressive mode у firewall'a
    что за synproxy state и действительно ли помогает,
    рекомендуемые настройки для Advanced Options firewall'a

    забываете, что это фаервол в первую очередь



  • как скормить фаерволу список IP скопом?

    кто пробовал IP-Blocklist?



  • @zar0ku1:

    как скормить фаерволу список IP скопом?

    Alias поможет. Там можно списком загружать.



  • @dvserg:

    Alias поможет. Там можно списком загружать.

    где?



  • Тип URLTable

    Enter a single URL containing a large number of IPs and/or Subnets. After saving pfSense will download the URL and create a table file containing these addresses. This will work with large numbers of addresses (30,000+) or small numbers.

    Он список по указанному URLу возьмет



  • @dvserg:

    Тип URLTable

    Enter a single URL containing a large number of IPs and/or Subnets. After saving pfSense will download the URL and create a table file containing these addresses. This will work with large numbers of addresses (30,000+) or small numbers.

    Он список по указанному URLу возьмет

    эт где такое? host, network, port



  • А.. у тебя же 1.2. Это в 2-ке



  • правь ручками xml
    там очень лекго…



  • @alexandrnew:

    правь ручками xml
    там очень лекго…

    не хочу ручками, написал скрипт который больше 10 коннектов за 30 секунд банит, хочу добавлять трушно в pfsense



  • М.б. просто делать в скрипте pfctl -t alias_table -T add address ?
    http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl&sektion=8
    Какой смысл эти забаненые адреса где-то в конфе хранить, да еще и фильтр с ней при каждом обновлении синхронизировать? Лучше динамически заносить - выносить (pfctl -t alias_table -T expire).



  • Кстати, в 2.0 все по этому принципу и работает из коробки. Там если в правиле в Advanced features -> Advanced Options установить Maximum new connections / per second(s), то те, кто превышает лимит, сразу попадают в скрытую таблицу virusprot и все их states обнуляются. А из этой таблицы уже никуда))


Log in to reply