4. Ddos

Ddos

  • Z

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    0
  • W

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    Snort ?

    Установка и настройка - http://bruteforcer.ru/index.php/2009/11/19/ustanovka-i-nastrojka-idsips-snort-v-pfsense/

    ![Categories .jpg](/public/imported_attachments/1/Categories .jpg)
    ![Categories .jpg_thumb](/public/imported_attachments/1/Categories .jpg_thumb)

    0
  • Z

    ну и что? snort определяет кривые пакеты, а если ddos идет на уровне протокола? то есть кучей тупых запросов

    0
  • T

    Тут советуют к испу обратиться попробывать.. ну еще из гугла пару ссылок дают :)

    0
  • Z

    исп посылает лесом

    0
  • D

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    Вот что-то про это http://dd0s.blogspot.com/
    Так же можно попробовать поиграться публичным прокси.

    0
  • Z

    чего-то snort не обновляется и не запускается :\

    0
  • A

    @zar0ku1:

    исп посылает лесом

    заява в правоохранительные органы, + прикладываете обращение к испу… и исп долго и нудно обясняет органам почему вас послал... еще, если это не исп первого уровня в вашей стране- то можно обратиться к вышестоящему испу...

    0
  • Z

    @alexandrnew:

    заява в правоохранительные органы, + прикладываете обращение к испу… и исп долго и нудно обясняет органам почему вас послал... еще, если это не исп первого уровня в вашей стране- то можно обратиться к вышестоящему испу...

    очень смешно, и долго они будут что-то искать?

    ИСП далеко не вышестоящий, еще как минимум два сверху

    по делу есть что?

    0
  • A

    по делу, если
    @zar0ku1:

    ну и что? snort определяет кривые пакеты, а если ddos идет на уровне протокола? то есть кучей тупых запросов

    количество пакетов на вход, с одного ипа ограничить - не? известные ипы (свои) - исключить, остальные - лимит…

    0
  • Z

    @alexandrnew:

    по делу, если
    количество пакетов на вход, с одного ипа ограничить - не? известные ипы (свои) - исключить, остальные - лимит…

    если можно пример, и как бороться с длинными запросами?

    0
  • R

    http://www.ddosexpert.ru/
    до 100Мб/с обещают бесплатную защиту

    0
  • Z

    @rubic:

    http://www.ddosexpert.ru/
    до 100Мб/с обещают бесплатную защиту

    проблема основная в том что ресурс расположен у нас на острове, у нас очень дорогой канал на материк,

    все антиддосы проксируют трафик через себя - для нас это недопустимо

    0
  • A

    @zar0ku1:

    проблема основная в том что ресурс расположен у нас на острове, у нас очень дорогой канал на материк,

    во! если ваш непосредственный исп - тоже на осторве - то ему и не выгодно вас защищать от ддос… так как за траф платить придется ему, а так вы платите...не исключено - что ддос - заказан им же...
    решения я уже написал:
    -обращение вышестоящему испу (достаточно быстро)
    -обращение в органы (если заказ вашего испа - то 99% что как только откроют дело, а он об этом узнает, атака прекратится)
    и могу добавить третье решение - поставьте сервак на колокейшн..

    0
  • A

    как бы вы не защитились - это максимум защитит ваш сервер, но не спасет от трафика..

    0
  • Z

    @alexandrnew:

    во! если ваш непосредственный исп - тоже на осторве - то ему и не выгодно вас защищать от ддос… так как за траф платить придется ему, а так вы платите...не исключено - что ддос - заказан им же...
    решения я уже написал:
    -обращение вышестоящему испу (достаточно быстро)
    -обращение в органы (если заказ вашего испа - то 99% что как только откроют дело, а он об этом узнает, атака прекратится)
    и могу добавить третье решение - поставьте сервак на колокейшн..

    1. как узнать вышестоящего испа? ттк, синтера, рткомм? и что им писать, ребята нас досят?
    2. колокейшн куда?

    я никак не думаю что это пров, платим мы не за трафик, а за канал

    0
  • Z

    @alexandrnew:

    как бы вы не защитились - это максимум защитит ваш сервер, но не спасет от трафика..

    трафика какого?

    0
  • A

    трафика который будет идти по вашему каналу.
    если защита у исп -то трафик и режется у исп, а ваш канал свободен. если защита у вас - вам просто положат канал.
    вообще - определитесь что и отчего хотите защитить.
    вариантов масса, почему не вариант проксировать трафик?  не хотите у кого-то проксируйте у себя. обновляйте сервер, фильтруйте на нем запросы. способов много.

    0
  • Z

    @alexandrnew:

    трафика который будет идти по вашему каналу.
    если защита у исп -то трафик и режется у исп, а ваш канал свободен. если защита у вас - вам просто положат канал.
    вообще - определитесь что и отчего хотите защитить.
    вариантов масса, почему не вариант проксировать трафик?  не хотите у кого-то проксируйте у себя. обновляйте сервер, фильтруйте на нем запросы. способов много.

    вы говорите прям элементарные вещи, вода-вода… по сути что есть?

    проксировать - потому что с острова пойдет трафик - а это уже отказ от клиентов

    вот последний пункт поподробнее:
    обновляйте сервер - обновлять до чего?
    фильтруйте запросы - каким образом? соственно вернулись опять с того с чего и начали :)

    0
  • A

    @zar0ku1:

    вы говорите прям элементарные вещи, вода-вода… по сути что есть?

    каков вопрос, таков ответ, на ваш ответ модно было ответить - спросите у гугла - отеты будут точно такие же, поверьте.
    вы не предоставляете никакой конкретики, вам ее и не дают в ответах. как вам можно подсказать - если вы даже не указали какая  ос на вашем сервере, какого типа трафик и тд.

    вот вам два ответа от гугла, что такое дос, и как защититься: никакой конкретики, так как неизвестно от чего защищаться.а варианты ответов - по сути - теже…
    http://ru.wikipedia.org/wiki/DoS-атака
    http://www.internet-technologies.ru/articles/article_436.html

    посему если хотите что бы вам помогли - то конкретно и спросите. по конкретной ситуации.

    з.ы. по проксированию - я написал - сделайте у себя, не вижу в этом проблем (apache reverse proxy, ISA (Microsoft Forefront UAG (IAG) )

    0
  • Z

    @alexandrnew:

    каков вопрос, таков ответ, на ваш ответ модно было ответить - спросите у гугла - отеты будут точно такие же, поверьте.
    вы не предоставляете никакой конкретики, вам ее и не дают в ответах. как вам можно подсказать - если вы даже не указали какая  ос на вашем сервере, какого типа трафик и тд.

    вот вам два ответа от гугла, что такое дос, и как защититься: никакой конкретики, так как неизвестно от чего защищаться.а варианты ответов - по сути - теже…
    http://ru.wikipedia.org/wiki/DoS-атака
    http://www.internet-technologies.ru/articles/article_436.html

    посему если хотите что бы вам помогли - то конкретно и спросите. по конкретной ситуации.

    з.ы. по проксированию - я написал - сделайте у себя, не вижу в этом проблем (apache reverse proxy, ISA (Microsoft Forefront UAG (IAG) )

    в моем случае хочу поставить АСА… но пока денег тратить не хочется, поэтому проксей пока будет pfsense (все это умозаключение, которые вы выдали можно было понять с первого поста)
    и возвращаемся к моему первому вопросу... тадамм:

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    0
  • A

    @zar0ku1:

    в моем случае хочу поставить АСА… но пока денег тратить не хочется, поэтому проксей пока будет pfsense (все это умозаключение, которые вы выдали можно было понять с первого поста)
    и возвращаемся к моему первому вопросу... тадамм:

    @zar0ku1:

    Здравствуйте,

    есть вебсервер, который подвергается DDoS атаке

    какие есть мысли как его защитить с помощью pfsense

    та вы шо? и что с вашего поста понятно? ос? какой вебсервер? какая атака?
    попробуйте проксировать и фильтровать апачем запросы к asp iis, я бы на это посмотрел…..
    не вижу смысла больше отвечать. покупайте что хотите. не факт что поможет.

    0
  • Z

    @alexandrnew:

    та вы шо? и что с вашего поста понятно? ос? какой вебсервер? какая атака?
    попробуйте проксировать и фильтровать апачем запросы к asp iis, я бы на это посмотрел…..
    не вижу смысла больше отвечать. покупайте что хотите. не факт что поможет.

    не видишь - не отвечай, пожалуйста, не засоряй тему и всем будет от этого только лучше

    кстати да по серверной части:
    front: nginx (cache + static)
    back: apache + php

    ось FreeBSD 7.2

    0
  • D

    А что за вид атаки?
    http://www.compn.ru/

    0
  • Z

    @dvserg:

    А что за вид атаки?
    http://www.compn.ru/

    фильтрация через их оборудование - не годится, и не надо советовать такие службы :))

    то как, то синфлуд, то длинными, то просто кучей запросов в поиск итп, вообщем повсякому… хочу просто собрать дистриб универсально прокаченный так сказать :)

    0
  • D

    Я не советую, это гугл навел на описалово разных ддосов.
    В зависимости от его типа защита и делается - для синфлуда один тип, для коннектов другой.

    Для защиты от синфлуда делают ограничение количества входящих синпакетов в единицу времени с одного хоста в правилах.
    Для коннектов - кидают их в медленную очередь, т.к. если просто отфутболить - последует очередной коннект.
    Примерно так.

    Лучше всего, конечно, автоматизировать процесс готовым решением.

    http://www.bre.ru/security/1862.html

    Механизм контроля полосы пропускания поддерживается Cisco роутерами. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux.

    Хорошая статья, можно сделать на pfSense 2.0
    http://www.opennet.ru/base/net/stop_dos.txt.html

    0
  • Z

    @dvserg:

    Я не советую, это гугл навел на описалово разных ддосов.
    В зависимости от его типа защита и делается - для синфлуда один тип, для коннектов другой.

    Для защиты от синфлуда делают ограничение количества входящих синпакетов в единицу времени с одного хоста в правилах.
    Для коннектов - кидают их в медленную очередь, т.к. если просто отфутболить - последует очередной коннект.
    Примерно так.

    Лучше всего, конечно, автоматизировать процесс готовым решением.

    http://www.bre.ru/security/1862.html

    Механизм контроля полосы пропускания поддерживается Cisco роутерами. Существуют неплохие реализации такого матобеспечения для FreeBSD и Linux.

    Хорошая статья, можно сделать на pfSense 2.0
    http://www.opennet.ru/base/net/stop_dos.txt.html

    да в гугле я сам поискать могу, меня интересовал скорее опыт людей :)
    про циску я писал выше, что не против купить АСА

    0
  • D

    Хех.. опытные люди на pfSense не сидять. Им по силам и по карману иные решения.

    0
  • Z

    @dvserg:

    Хех.. опытные люди на pfSense не сидять. Им по силам и по карману иные решения.

    хехе, верно подмечено, но потом это хозяйство надо кому-то передать (я лишь только помогаю) да и бюджет не мой :)

    0
  • Z

    меня больше интересовало, что за agressive mode у firewall'a
    что за synproxy state и действительно ли помогает,
    рекомендуемые настройки для Advanced Options firewall'a

    забываете, что это фаервол в первую очередь

    0
  • Z

    как скормить фаерволу список IP скопом?

    кто пробовал IP-Blocklist?

    0
  • D

    @zar0ku1:

    как скормить фаерволу список IP скопом?

    Alias поможет. Там можно списком загружать.

    0
  • Z

    @dvserg:

    Alias поможет. Там можно списком загружать.

    где?

    0
  • D

    Тип URLTable

    Enter a single URL containing a large number of IPs and/or Subnets. After saving pfSense will download the URL and create a table file containing these addresses. This will work with large numbers of addresses (30,000+) or small numbers.

    Он список по указанному URLу возьмет

    0
  • Z

    @dvserg:

    Тип URLTable

    Enter a single URL containing a large number of IPs and/or Subnets. After saving pfSense will download the URL and create a table file containing these addresses. This will work with large numbers of addresses (30,000+) or small numbers.

    Он список по указанному URLу возьмет

    эт где такое? host, network, port

    0
  • D

    А.. у тебя же 1.2. Это в 2-ке

    0
  • A

    правь ручками xml
    там очень лекго…

    0
  • Z

    @alexandrnew:

    правь ручками xml
    там очень лекго…

    не хочу ручками, написал скрипт который больше 10 коннектов за 30 секунд банит, хочу добавлять трушно в pfsense

    0
  • R

    М.б. просто делать в скрипте pfctl -t alias_table -T add address ?
    http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl&sektion=8
    Какой смысл эти забаненые адреса где-то в конфе хранить, да еще и фильтр с ней при каждом обновлении синхронизировать? Лучше динамически заносить - выносить (pfctl -t alias_table -T expire).

    0
  • R

    Кстати, в 2.0 все по этому принципу и работает из коробки. Там если в правиле в Advanced features -> Advanced Options установить Maximum new connections / per second(s), то те, кто превышает лимит, сразу попадают в скрытую таблицу virusprot и все их states обнуляются. А из этой таблицы уже никуда))

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy