Pull to refresh

Comments 6

Это даже не смешно.
1. Подобные правила можно и на unix/linux сделать, совсем необязательно иметь NGFW. Более того используя современные решения типа netmap, DPDK, PF_Ring все это можно сделать на неплохих скоростях, вплоть до 10 Гбит/с.
2. Syn flood, это прошлый век. В наше время даже обезьяньи решения умеют считать syn/syn-ack и отбиваться от подобного рода атак десятью различными методами.
3. Не указан объем атаки в тесте, обычно средней руки файрволы(как и роутеры) ложаться примерно на 500KPPS-1MPPS. При этом, если не повезет, кладут за собой всю сеть.
На Linux сегодня можно собрать почти любое решение, но это не делает его решением корпоративного уровня по производительности, отказоустойчивости, сервисам и т.д.

Основная идея статьи была не в том, чтобы показать суперсовременную атаку, а в том, чтобы показать пример, как настраивается NGFW. По этой же причине не собирали стенд с нагрузочным тестированием.
Корпоративный уровень устойчивости — это если я вам всажу 40гбит отборного дерьма в интерфейс, вы из него конфетку отфильтруете? Последний раз, когда я такую штуку щупал (не от HP) она свернулась на трёх мегабитах тупенького флуда unknown-трафиком. Да так, что админ не мог в консоль железки залогиниться. Защищаемой системе этот трафик пофигу (неизвестный тип протокола), а железка загибается и роняет трафик.

Вот такой вот защитничек.

Вы бы лучше дали на растерзание IP'шничек, я бы чуток фигни наприсылал, посмотрел как работает. Но сцыкотно, да? Потому что кто знает, что там в голову придёт прислать. Например, установить tcp а потом засрать всё ретраями или бешенными ack'ами… Или с неверными смещениями поиграться…
Запускаем сетевую атаку DDoS и смотрим в логи Wireshark и наблюдаем классическую DoS атаку с зараженной агентом виртуальной машины:

Простите, но DDoS — Distributed DoS. Т.е. атака идёт со множества станций, трафик каждой из которых в отдельности даже может быть не слишком существенным. А вы очень толсто перепрыгнули — запускаете, вроде как, DDoS, а видим DoS. Т.е. вы не показали защиту от распределённости.

То, что вы продемонстрировали, наверняка можно было сделать ещё, например, на сisco PIX в коде 7-ой версии (вроде-как сходный по структуре пример из 2008 года, возможно есть и другие). Думаю, у других МСЭ (checkpoint, fortigate, или palo alto, к примеру) — уже тогда было аналогично или лучше.

Пожалуйста, поставьте более сложный и интересный эксперимент, с какой-нибудь актуальной атакой.
Как я отписал в предыдущем комментарии, основная цель этой статью — показать настройки NGFW на конкретном примере, а не соревноваться в этом виде программы с конкурентами.

Как вы понимаете, организовать в лабе настоящий DDoS достаточно не просто, но атака шла с нескольких разных хостов, хотя в статье об этом, согласен, не написано

За комментарий спасибо, на счет более сложных вариантов обязательно подумаем
основная цель этой статью — показать настройки NGFW на конкретном примере, ...
Статья называется «Демонстрация защиты от DDoS», а не «демонстрация настройки программы ххх на примере...». Далее в статье идёт: «Ниже представлен пример защиты от атак типа...» и «Для тестирования этой возможности межсетевого экрана был собран стенд...». Видно, что в статье декларируется цель продемонстрировать возможность межсетевого экрана защищать от некоторого типа атак, обобщённо названного в заголовке «DDoS». Теперь, в комментариях, после того как вам указали на неадекватность демонстрации, вы выдвигаете другую цель статьи.

… а не соревноваться в этом виде программы с конкурентами.
Я указал на конкурентов не ради соревнования. Я указал на то, что продемонстрированная в статье защита была в существующих решениях корпоративного класса задолго до того, как маркетологи изобрели термин NGFW. (Заметьте также, что комментатору выше вы указываете на то, что гибкость linux (в котором это всё тоже есть) не делает его решением корпоративного уровня по ряду свойств (утверждение сомнительное само по себе и требующее обоснования).)

но атака шла с нескольких разных хостов, хотя в статье об этом, согласен, не написано
Скриншот или этого не было. На приводимом в статье скриншоте атаки из wireshark пакеты идут с одного хоста 10.0.3.101.

За комментарий спасибо, на счет более сложных вариантов обязательно подумаем
Я всегда рад, если это приведёт к более проработанным статьям о сетях в будущем.
Sign up to leave a comment.