какое количество запросов в секунду = мешает?

ftp и факсы ещё ip6 переживут

Я таким зафильтровал у себя

мне не нравится, что оно просто юзает мою полосу для атаки

Благо их всего 3

сколько бы не юзало

это купленная клиентом полоса

У нас в соглашении написано что создает проблемы другим. Т.е. нашел кого то с проблемой, всё, доказал.

Или фигня это?

надо хорошо дружить с аплинком

Надо спросить у аплинка как блекхолить адреса ?

Надо спросить у аплинка как блекхолить адреса ?

не только

надо, чтобы аплинк тоже не тупил и смотрел, что происходит

Надо спросить у аплинка как блекхолить адреса ?

А толку если они фейковые например?

и мог по запросу рубануть, например, входящий UDP

либо знать, сколько в целом пролетает SYN, чтобы рулить этим параметром

все решения с DDoS, увы, далеко не сразу очевидны

например, что делать, если нам льется UDP, мы его порезали, но DNS-запросы наших пользователей надо как-то сатисфачить?

хотя бы на DNS?

молчу про всякие VoIP

я просто считаю, что пока нас от потоков дерьма защищает NAT

Увы, это иллюзия. Просто первым ляжет над, вот и все... ?

rfc 7999 что ли

про блекхоле

Увы, это иллюзия. Просто первым ляжет над, вот и все... ?

я не про DDoS, а про доступ к вирусне

вернее, вирусни к

https://tools.ietf.org/html/rfc7999

ибо как только IPv6 соединится с IoT, мы получим сотни, тысячи слабозащищенных или непропатченых устройств

Что плохого если нат ляжет? Это же благо

с прямым доступом в сеть

не так все просто. где грань “мешает”?

Так ты провайдер - определи регламент и в путь.

Нат за которым пяток утюгов iot ложась спасает нас.

Так ты провайдер - определи регламент и в путь.

эгм, хорошо. приведу пример из свежего.

вот вижу я с 10-15 машин в моей сети трафик вида DNS-запрос <генеренка>.атакуемыйдомен.tld

он не сильно велик с каждой машины по отдельности

но вот мой резольвер в сумме уже льет на NS-сервера атакуемого домена 3-4 мегабита

чо мне в регламенте писать?

“если вы, какашки, начинаете все вместе лить трафик куда-то, без предварительного согласования со мной, то я вас отключу, так и знайте!”

либо другая фигня

Согласен, мутно

тупой роутер начинает лить мне 14-15 тыщ запросов в секунду на какой-нить PTR

ну просто он тупой и вот жизн у него не удалась

А толку если они фейковые например?

Хм... ну это вы кому-то дорогу уже перешли, как оператор ?

В ту же тему. мне последнее время приходит много жалоб от всяких контор типа меня ваш клиент сканит. Я проверяю, ну да, было. Но было типа пару пакетов, чо делать?

тупой роутер начинает лить мне 14-15 тыщ запросов в секунду на какой-нить PTR

какой-нить hashlimit поставить на ДНС...

тупой роутер начинает лить мне 14-15 тыщ запросов в секунду на какой-нить PTR

Мне две камеры на улицы в мороз исполняли такое.

А что, кто-то еще не умеет бороться с SYNflood? Хм.

какой-нить hashlimit поставить на ДНС...

эгм, я и ставлю, но тут есть ньюанс

В ту же тему. мне последнее время приходит много жалоб от всяких контор типа меня ваш клиент сканит. Я проверяю, ну да, было. Но было типа пару пакетов, чо делать?

спросить у звонящих "и что?"

какой-нить hashlimit поставить на ДНС...

например, если у Вас есть safe dns, то запросы клиентов с этой услугой проксируются с одной машины

тада мы приходим к тому, что внутри нашей сети нельзя всех rate limit ировать одинаково

А это интересный вопрос, я даже не понимаю чего они хотят. В письме нет просьбы. есть факт.

А что, кто-то еще не умеет бороться с SYNflood? Хм.

с ним, вообще-то, легко никто бороться не умеет. пока в основном терминируют у себя и матерятся.

А что, кто-то еще не умеет бороться с SYNflood? Хм.

есть простое решение? расскажите.

https://tools.ietf.org/html/rfc7999

Ух тыыыыыы, RFC - свежак, не иначе ?

есть простое решение? расскажите.

а что, syncookies отменили?

для ряда протоколов не подходит

SMTP навскидку

вот вижу я с 10-15 машин в моей сети трафик вида DNS-запрос <генеренка>.атакуемыйдомен.tld

Уведомлять абонентов, мол, примите меры. Не принимают - самим принимать в случае попы. Знаю некоторые ежедневно абонентам рассылает отчеты о брешах в девайсах и настройках. Именно так и аргументирует - вы представляете опасность (ваше оборудование) и можете быть отключены в случае использовния уязвимости злоумышленниками

я скажу так — посоны из Cisco на это говорят “know your network” и я с ними согласен, я про SYN

Уведомлять абонентов, мол, примите меры. Не принимают - самим принимать в случае попы. Знаю некоторые ежедневно абонентам рассылает отчеты о брешах в девайсах и настройках. Именно так и аргументирует - вы представляете опасность (ваше оборудование) и можете быть отключены в случае использовния уязвимости злоумышленниками

отлично, абоненты игнорируют. кто-то по глупости, у кого-то админы мышей не ловят. но повторюсь, от одного абонента маленький поток, вполне легитимный — 3-4 запроса в секунду

Уведомлять абонентов, мол, примите меры. Не принимают - самим принимать в случае попы. Знаю некоторые ежедневно абонентам рассылает отчеты о брешах в девайсах и настройках. Именно так и аргументирует - вы представляете опасность (ваше оборудование) и можете быть отключены в случае использовния уязвимости злоумышленниками

Это ж ваши абоненты, они ж вам денежки несут

ну или чуть больше, неважно

И вам проблем не создают, ну пришло там 5 пакетов от каждого

для ряда протоколов не подходит

есть такое

Чем же SYNcookie для SMTP не подходит? :)))

есть такое

ну и я тут такой “ииииииииии?” :)

Чем же SYNcookie для SMTP не подходит? :)))

да как бы там клиент ждет привета от сервера

а сервер молчит, пушо экономит мозг

Понятно, вам пора прочитать, как SYNcookie работает

поэтому клиент говорит “хозяин, этот сервер отвечает мне не”

эээээээ

ну и я тут такой “ииииииииии?” :)

ииииии в исходной задаче про "рад протоколов" речи не было )

а так - в большинстве случаев прокатывает

из вики кагбе

Однако проблема возрастает когда теряется финальный ACK-пакет от клиента, а протокол прикладного уровня требует, чтобы сервер был инициатором дальнейшего взаимодействия (например, протоколы SMTP и SSH). В этом случае клиент предполагает, что соединение установлено успешно и ждёт от сервера пригласительный баннер или повторную пересылку SYN+ACK пакета. Однако сервер не будет отправлять такой пакет, т.к. забракует сессию. В конечном итоге клиент тоже сбросить сессию, но для этого может потребоваться много времени.

может Вам почитать, как оно работает?

А это интересный вопрос, я даже не понимаю чего они хотят. В письме нет просьбы. есть факт.

Добрый день! Ваше сообщение рассмотрено. Спаисбо за обращение

а так - в большинстве случаев прокатывает

я скажу так — все сильно зависит от того, что за атака

в плохих случаях — это комбинация

может Вам почитать, как оно работает?

может научиться формулировать вопросы сразу со всеми условиями, а не по ходу пьёссы их добавлять? :)

да я просто сказал и повторюсь, что серебряной пули нет

понятно что не панацея

ага

Тут надо подстрочник какой то для этой драмы.

и что syn-flood тот же нельзя фильтровать сразу только syncookies

А то я так и не понял мякотки, о чем тут Доны спорят.

может сработать, да, но отвалится много важного

Не, вот это немного другая история - потерянный ACK в трехстороннем рукопожатии. Ну так крутите и другие ручки, например.

кратко: DDoS это чудный новый мир, нет готового решения, как “закупили цыску — стало хорошо”

отлично, абоненты игнорируют. кто-то по глупости, у кого-то админы мышей не ловят. но повторюсь, от одного абонента маленький поток, вполне легитимный — 3-4 запроса в секунду

Эти 4 запроса мешают жить вашей сети? Думаю, что нет. Но это не мешает проводить работу с абонентами и приводить оборудование в чувство. Мастеров засылать и т.п. Вот когда у вас в сети кча сетевух с МАС-адресами 00:00:00:00:00:00, или одинаковыми, что вы делаете? (когда это проблемы доставляет)

А правильно я понимаю что вот эти ваши synкуки это когда цель атаки какой то отдельный сервер ваш

ага

да

и если это сервер тупого абонента

то пока мы объясним, как их включать, он ляжет наглухо

Это ж ваши абоненты, они ж вам денежки несут

Так заботу выключать не надо. Аккуратно, нежно. Ведь далеко не каждый изнасилованный таковым является, если степень насилия сменить на согласие путем предварительной подготовки...

И там типа что трафика много чтоль? при syn атаке этйо? Ну погаснет сервер у абона, проблема в сети будет?

Эти 4 запроса мешают жить вашей сети? Думаю, что нет. Но это не мешает проводить работу с абонентами и приводить оборудование в чувство. Мастеров засылать и т.п. Вот когда у вас в сети кча сетевух с МАС-адресами 00:00:00:00:00:00, или одинаковыми, что вы делаете? (когда это проблемы доставляет)

поймите, речь идет как раз о том, что 1) абонентам пофиг 2) монтажники не есть сервисная комповая служба

И там типа что трафика много чтоль? при syn атаке этйо? Ну погаснет сервер у абона, проблема в сети будет?

да, ему прилетает много запросов на соединение, далеко не каждый сервер такое переварит

Про него я понял, ну я за каждый клиентский ип ен переживаю, я переживаю что б меня не положили этим