Обнаружение DDoS-атак «на коленке»

[svk28]

. В недостатки можно записать отсутствие веб-оболочки

А разве flow-viewer это не то самое?

FlowViewer provides a convenient web-based user interface to Mark Fullmer’s flow-tools suite and CMU's netflow data capture/analyzer, SiLK

[owenear]

В целом да, просто это сторонний проект. Т.е. оболочка не идет в коробке.

[morfius86]

То же используем, но есть минус — отсутствует поддержка ipv6.

[pavelodintsov]

Рекомендую обратить внимание на наш проект, github.com/pavel-odintsov/fastnetmon. Много лет назад проект был создан именно для решения подобной задачи.

[amarao]

20 гигабит и вы блэкхолите IP? Эм… Что так тонко-то?

[owenear]

Не понял сарказм или нет :) Но блэк-холл у себя и анонс этого IP с блэкхольным комьюнити провайдерам выше спасает. 20 гигабит это чуть ли не половина нашей емкости внешних каналов.

[maxx_s]

Наверное тут имелось ввиду взять канал с flowspec, чтобы не терять трафик совсем. Как вариант иметь канал с фильтрацией, уводить туда префиксы с проблемными IP. Но это конечно всё сложней и дороже, тем более если ещё и конечный клиент не ваш.

[miklezzzz]

здорово, что сами, но как сами и писали — уже все придумано :) + за fastnetmon

[owenear]

не в обиду fastnetmon (очень крутой проект с множеством фич), но я не нашел в нем возможности (по крайней мере в бесплатной версии) сгруппировать трафик, к примеру, аналогично репорту ip-destination-address/ip-source/destination-port и повесить порог на это правило (есть возможность вешать пороги на весь трафик к IP и на tcp/udp протокол). Что не очень подходит конкретно нам. Львиная доля атак укладывающих мелких клиентов отлавливается только этим правилом. Кроме того, есть несколько больше свободы в выборе этих правил. Но все, конечно, гораздо проще и скуднее в плане поддержки протоколов и функций.