[Comm] Способы защиты от флудаиDDoSатак
Anton
=?iso-8859-1?q?grimnir_=CE=C1_park-net=2Eru?=
Пн Сен 30 12:27:27 MSD 2002
On Monday 30 September 2002 11:51, you wrote:
> On 30 Sep Mon 11:33, Anton wrote:
> > > А чтение /usr/src/linux/Documentation/networking/ip-sysctl.txt
> > > может помочь?
> >
> > это вопрос или предложение?
>
> Сначала предложение, а после прочтения вопрос -
> содержится ли там инф., помогающ. защититься от флуда?
> Я имею ввиду
> icmp_destunreach_rate
> icmp_paramprob_rate
> icmp_timeexceed_rate
> icmp_echoreply_rate
>
> Это не то, что нужно?
тут и читать нечего
проверено на практике как со стороны защищающейся так и атакующей:)
защитится можно от ДоС атак направленных на различные сервисы и использующие
в них ошибки. От флуда нет защиты, реально, можно только запретить своему
компьютеру-сети отвечать на различные запросы либо уменьшить количество
ответов. Если полностью запретить ICMP_ECHO ответ то трафик и подгаживание
канала уменьшится ровно в два раза, однако трафик в Вашу сторону это
нисколько не уменьшает.
Когда у меня на бывшей работе мне устроили DDoS, я просил провайдера
mksnet.ru перекрыть (зафильтровать) те узлы с которых идет флуд на мой
сервер, начто мне было сказано, ну уж нафиг что бы весь мусор скапливался у
нас? В итоге через 2 часа админы провадера сказали что атака идет примерно с
20-30 узлов с каналов от 2 до 100 мегабит, некоторые из них вылетают но
добавляются новые и у провайдера из за этого флуда страдают голосовые клиенты
вот так вот, так же они просили своих партнеров перекрыть доступ к тем сетям
с которых флудят
а закончилось это все тем что пол инета было закрыто
открыта была только зона .ru да и то не вся. бардак два дня продолжался.
а правила файрвола вообще почти месяц потом разбирали:) че там они в спешке
натворили назакрывали.
Так что полноценной защиты от DDoS -типа флуд не существует, можно только
уменьшить гоняемый трафик меж сетями
Подробная информация о списке рассылки community