classic.ISPforum.cz

Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?

Fenix není ochrana před DDoS. Fenix je způsob, jak ani při masivním útoku nepřijít o veškerou komunikaci (v rámci Fenixu se "předpokládá", že to pojede vždy).

slovo ddos u fenixu nemělo padnout nicméně spojuje subjekty mezi sebou přes solo peery takže když přijde na subjekt ddos z hlavní lajny tak přesto peery ve fenixu běží dál. Kdyby v čechách každej měl českou a zahraniční konektivitu jako že českou s českýmy peery tak by to nejspíš bylo stejný jako fenix ačkoliv fenix má určitá kritéria pro vstup která třeba nix ani superNetwork nemá a je třeba je splnit a dodržovat takže by to mělo smysl.

A tak co používáte vy ? Vím, ze dokud někomu člověk nebude ležet v žaludku tak ma relativně štěstí. Ale stačí jeden blbec a muze Vam opravdu zneprijemnit život. My si platime drahou ochranu ale v poslední době je to tak nahoubx ze už musí hledat jiné řešení. Ochrana funguje ale vysvetlete hráči, ze ma během dne 20x na 30 vteřin ppl. Nez se prepne na zálohu tak to chvilku trva, a pokud je útok on/off tak je to oto otravnejsi. A ochrana kterou si platime Vam řekne ze nic neni 100% a ze lze považovat za úspěch ze je to jen par vteřin. Bezně to je prý i par minut.

co třeba zkusit upstreama, který právě je členem fenixu? každopádně spolehlivé řešen íneexistuje pro tak malé isp.

Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.

rsaf píše:Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.

jakto že to neřeší? píošu že členové fenixu by měli mít zajištěnou tzv kritickou infrastrukturu po dobu útoku, to není pravda?

napr: https://www.netscout.com/arbor nebo https://www.fortinet.com/products/ddos/fortiddos.html (pouzivame my)
Ale nutnost je mit silnou upstream linku, jinak dojde k ucpani.

Orel005 píše:Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?

v obecne rovine mas 2 problemy
1) jak rychle detekovat probihajici utok. Zrychleni odezvy znamena mit ze sitovych prvku informace o packetech hned. Netflow napriklad agreguje informace, takze generuje data se zpozdenim. Pro male site muze byt optimalni dostat do detektoru data z mirorovanych portu routeru/switchu
2) jak reagovat na utok. Obvykle vyuziti RTBH, znamena, ze sice utok zastavis, ale zaroven s nim i jakykoliv jiny tok na dane IP/sit. Takze musis umet filtrovat ne na bazi ciloveho IP ale na bazi sitovych sluzeb. Takze musis pouzit napr BGP flowspec.

jako levne ale funkcni reseni (vyzaduje ale odvest nejakou vlastni praci a invenci) je pro mensi nasazeni FastNetMon. Je schopen detekovat DDoS behem 1 sekundy (kontroluje prekroceni nastavenych hodnot jedno za sekundu), vygenerovat RTBH ci FlowSpec routu atd. Teoreticke naklady jsou jen na nejaky linux router vybaveny podporovanycmi 10gbps sitovkami.
Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.

Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.

BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?

zdenek.svarc píše:

Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.

BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?

samozrejme