Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
DDoS - projekt fenix ?
DDoS - projekt fenix ?
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting
Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.
Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.
Fenix není ochrana před DDoS. Fenix je způsob, jak ani při masivním útoku nepřijít o veškerou komunikaci (v rámci Fenixu se "předpokládá", že to pojede vždy).
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
slovo ddos u fenixu nemělo padnout nicméně spojuje subjekty mezi sebou přes solo peery takže když přijde na subjekt ddos z hlavní lajny tak přesto peery ve fenixu běží dál. Kdyby v čechách každej měl českou a zahraniční konektivitu jako že českou s českýmy peery tak by to nejspíš bylo stejný jako fenix ačkoliv fenix má určitá kritéria pro vstup která třeba nix ani superNetwork nemá a je třeba je splnit a dodržovat takže by to mělo smysl.
1 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
A tak co používáte vy ? Vím, ze dokud někomu člověk nebude ležet v žaludku tak ma relativně štěstí. Ale stačí jeden blbec a muze Vam opravdu zneprijemnit život. My si platime drahou ochranu ale v poslední době je to tak nahoubx ze už musí hledat jiné řešení. Ochrana funguje ale vysvetlete hráči, ze ma během dne 20x na 30 vteřin ppl. Nez se prepne na zálohu tak to chvilku trva, a pokud je útok on/off tak je to oto otravnejsi. A ochrana kterou si platime Vam řekne ze nic neni 100% a ze lze považovat za úspěch ze je to jen par vteřin. Bezně to je prý i par minut.
0 x
https://www.ORELSOFT.cz - ISP CZ / https://www.ORELSOFT.pl - ISP PL / https://www.levneVPS.cz - Hosting / https://www.GAMEHOSTING.cz - Herni hosting
Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.
Proc se schovavat v anonymite ? Kdyz neco delas, delej to na 100%, nebo se na to vyser.
co třeba zkusit upstreama, který právě je členem fenixu? každopádně spolehlivé řešen íneexistuje pro tak malé isp.
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.
3 x
rsaf píše:Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.
jakto že to neřeší? píošu že členové fenixu by měli mít zajištěnou tzv kritickou infrastrukturu po dobu útoku, to není pravda?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
napr: https://www.netscout.com/arbor nebo https://www.fortinet.com/products/ddos/fortiddos.html (pouzivame my)
Ale nutnost je mit silnou upstream linku, jinak dojde k ucpani.
Ale nutnost je mit silnou upstream linku, jinak dojde k ucpani.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
- Příspěvky: 1246
- Registrován: 11 years ago
Orel005 píše:Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?
v obecne rovine mas 2 problemy
1) jak rychle detekovat probihajici utok. Zrychleni odezvy znamena mit ze sitovych prvku informace o packetech hned. Netflow napriklad agreguje informace, takze generuje data se zpozdenim. Pro male site muze byt optimalni dostat do detektoru data z mirorovanych portu routeru/switchu
2) jak reagovat na utok. Obvykle vyuziti RTBH, znamena, ze sice utok zastavis, ale zaroven s nim i jakykoliv jiny tok na dane IP/sit. Takze musis umet filtrovat ne na bazi ciloveho IP ale na bazi sitovych sluzeb. Takze musis pouzit napr BGP flowspec.
jako levne ale funkcni reseni (vyzaduje ale odvest nejakou vlastni praci a invenci) je pro mensi nasazeni FastNetMon. Je schopen detekovat DDoS behem 1 sekundy (kontroluje prekroceni nastavenych hodnot jedno za sekundu), vygenerovat RTBH ci FlowSpec routu atd. Teoreticke naklady jsou jen na nejaky linux router vybaveny podporovanycmi 10gbps sitovkami.
Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.
2 x
- zdenek.svarc
- Administrator
- Příspěvky: 1635
- Registrován: 18 years ago
- antispam: Ano
Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.
BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
zdenek.svarc píše:Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.
BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?
samozrejme
0 x