>Пресекать ДДоС — это ж запросто! Если есть возможность пресечь — какой >провайдер откажется? Никто ж специально не будет пропускать ДДоС мимо >пальцев.
С точки зрения carrier — DDoS трафик это трафик, который можно побиллить.
Приятный бонус. Бороться? Пчелы против меда!
ну до тех пор пока инфраструктура держит по крайней мере…
Никогда:
— не плодить лишних сущностей.
— не делать запросов к базе с титульной страницы
— не хранить картинки и другие блобы в MySQL/Postgres
— не держать в качестве фронтенда Apache
— не хранить несколько абсолютно идентичных экземпляров одних и тех-же данных в памяти.
— не получать результаты работы лежащего в соседней директории куска кода запросом по http по loopback через установленый на марсе relay.
… да много чего НЕ_
ибо глупость человеческая поистине бесконечна.
Проще сказать что делать:
1. ЛЕНИТЬСЯ по максимуму (ибо только лень более бесконечна чем глупость)
2. ну и ДУМАТЬ, чтобы лениться было комфортно ;)
Три момента:
1. У Cisco на данный момент просто НЕТ Адекватного продукта по данной тематике. Как-следствие Guard как appliance снята с производства и существует только модулем к 65xx. Сама Cisco инвестирует в Arbor.
2. Нарисованый на картинке IPS это вообще про другое. (http://cisco.com) и сам будет СЛАБЫМ звеном при грамотно раскрученной атаке.
3. Терминация IPSEC сказачно красиво расписанная на практике заканчивается: разглашением банковской тайны и всеми мыслимыми и немыслимыми чекистскими лицензиями на шифрование и защиту данных. А ну как Вы узнаете что Ваш банк разглашает ваши транзакции Третьей Стороне? Все-же доверяют Компании Оверсан — Империи Света? %)
N.B. Не анонс, но приглашение: Четверг, 24 Июля 2010. 18:00 ВМиК МГУ состоиться небольшой открытый семинарчик по теме «Уязвимости в TCP/IP: обнаружение и противодействие»
Желающие присоединиться — пишите в личку. К сожалению не могу гарантировать участие всем, но приложу максимум усилий.
Вообще есть и гораздо более изящные способы чем анонс чужой сети.
И да, BGP v4 как протокол которому уже 15+ лет и который все эти 15 лет развивался исключительно эволюцией по принципу «О! А давайте добавим 64bit ASN, но чтобы дешево было» — да он имеет целый набор проблем.
Если нет желания про них узнать — фильтруйте не только апдейты но и вообще трафик к вашим бордерам.
И да, из этих 15+ лет, как минимум 10, много-много людей знает о проблемах в BGPv4. Время-от времени появляются волны интереса общественности (после очередного громкого факапа как правило)…
Вы допустите ботов до вашего скриптового бэкэнда, который как правило очень и очень конечен. Собственно вместо 5тыс ботов понадобиться 10тыс…
Но итог все тот-же — вы ляжете.
Оплатите.
Именно поэтому Телко вообще не интересуют DDoS до тех пор пока это HTTP DDoS.
Для них это просто траффик за который вас хорошо можно побиллить.
Совсем другое дело когда начинает лететь в хороших обьемах мелкая udp нарезка которая «выдувает» весь MLS кэш на свитчах. Тогда да, тогда они начинают чесаться… как ужики на сковородке;)
Viva la Habrahabr.
рассчет атакующих понятен — пробить кэши.
бьется вполне просто и прозрачно стандартными приемами с анализом поведения.
;)
LOL
С точки зрения carrier — DDoS трафик это трафик, который можно побиллить.
Приятный бонус. Бороться? Пчелы против меда!
ну до тех пор пока инфраструктура держит по крайней мере…
— не плодить лишних сущностей.
— не делать запросов к базе с титульной страницы
— не хранить картинки и другие блобы в MySQL/Postgres
— не держать в качестве фронтенда Apache
— не хранить несколько абсолютно идентичных экземпляров одних и тех-же данных в памяти.
— не получать результаты работы лежащего в соседней директории куска кода запросом по http по loopback через установленый на марсе relay.
… да много чего НЕ_
ибо глупость человеческая поистине бесконечна.
Проще сказать что делать:
1. ЛЕНИТЬСЯ по максимуму (ибо только лень более бесконечна чем глупость)
2. ну и ДУМАТЬ, чтобы лениться было комфортно ;)
1. У Cisco на данный момент просто НЕТ Адекватного продукта по данной тематике. Как-следствие Guard как appliance снята с производства и существует только модулем к 65xx. Сама Cisco инвестирует в Arbor.
2. Нарисованый на картинке IPS это вообще про другое. (http://cisco.com) и сам будет СЛАБЫМ звеном при грамотно раскрученной атаке.
3. Терминация IPSEC сказачно красиво расписанная на практике заканчивается: разглашением банковской тайны и всеми мыслимыми и немыслимыми чекистскими лицензиями на шифрование и защиту данных. А ну как Вы узнаете что Ваш банк разглашает ваши транзакции Третьей Стороне? Все-же доверяют Компании Оверсан — Империи Света? %)
N.B. Не анонс, но приглашение: Четверг, 24 Июля 2010. 18:00 ВМиК МГУ состоиться небольшой открытый семинарчик по теме «Уязвимости в TCP/IP: обнаружение и противодействие»
Желающие присоединиться — пишите в личку. К сожалению не могу гарантировать участие всем, но приложу максимум усилий.
И да, BGP v4 как протокол которому уже 15+ лет и который все эти 15 лет развивался исключительно эволюцией по принципу «О! А давайте добавим 64bit ASN, но чтобы дешево было» — да он имеет целый набор проблем.
Если нет желания про них узнать — фильтруйте не только апдейты но и вообще трафик к вашим бордерам.
И да, из этих 15+ лет, как минимум 10, много-много людей знает о проблемах в BGPv4. Время-от времени появляются волны интереса общественности (после очередного громкого факапа как правило)…
И все продолжают ждать петуха.
Диски-же большую часть времени стоят с остановленным шпинделем, если это чисто бэкапное решение?
User-Agent по факту дают сейчас все боты. Технику можно считать устаревшей.
Большинство ботнетов следуют именно за DNS.
Но итог все тот-же — вы ляжете.
Именно поэтому Телко вообще не интересуют DDoS до тех пор пока это HTTP DDoS.
Для них это просто траффик за который вас хорошо можно побиллить.
Совсем другое дело когда начинает лететь в хороших обьемах мелкая udp нарезка которая «выдувает» весь MLS кэш на свитчах. Тогда да, тогда они начинают чесаться… как ужики на сковородке;)
успех гарантирован. запросов нет, под ratelimit они не попадают.
сервер холодный, но ничего не отдает.
еще раз: apache в чистом виде НЕ_ЖИЛЕЦ.
убирайте его за современный веб-сервер на ваш выбор.
стройте разумные query rate политики.
Apache в текущих условиях НЕ_жилец. Тем-более с медленными win-сокетами.