| |
| 2.3, Аноним (-), 22:08, 04/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем только UDP, если опять не помогло блокируем TCP кроме 80/443 портов и уже потом блокируем весь трафик.
| | |
| |
| 3.5, odintsov (ok), 22:50, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик
> на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика
> и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем
> только UDP, если опять не помогло блокируем TCP кроме 80/443 портов
> и уже потом блокируем весь трафик.
Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).
Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.
| | |
| |
| 4.6, Аноним (-), 22:56, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.
| | |
| |
| 5.7, odintsov (ok), 22:58, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.
| | |
| |
| 6.8, Аноним (-), 23:07, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Это хороший кейс, его можно реализовать через notify_script
Логично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.
| | |
| |
| 7.11, odintsov (ok), 00:38, 05/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.
| | |
|
|
|
|
|
| 2.9, Аноним (-), 23:11, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
А DDoS по IPv6 как блокируйте? Через BGP его уже не заблокировать.
| | |
| |
| 3.10, odintsov (ok), 23:12, 04/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> А DDoS по IPv6 как блокируйте? Через BGP его уже не
> заблокировать.
Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии.
| | |
|
|
| |
| 2.14, vantoo (ok), 22:14, 05/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.
| | |
|
|
