no jak? neodbavil bylo to zde řečeno pomocí RTBH https://www.youtube.com/watch?v=ojUupVrekzs odklonit
jen ted pracuji na automatizaci, vyhodnocování záškodníků pomocí netflow v rozumném čase a vyhledání daných záškodnických ASN.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
co dělat s ddos od NIXu?
Re: co dělat s ddos od NIXu?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
já to vím ptal sem se juliana .. páč bez spolupráce s upstream nedokážeš nic ..
0 x
-
- Příspěvky: 1361
- Registrován: 9 years ago
- Bydliště: Horní Slavkov
- Kontaktovat uživatele:
To je přeci jasné ne... musíš mít 100Gb linku a všechno k tomu. Nesmíš být troškař
0 x
Petr Bačina píše:To je přeci jasné ne... musíš mít 100Gb linku a všechno k tomu. Nesmíš být troškař
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
okoun píše:no jak? neodbavil bylo to zde řečeno pomocí RTBH https://www.youtube.com/watch?v=ojUupVrekzs odklonit
jen ted pracuji na automatizaci, vyhodnocování záškodníků pomocí netflow v rozumném čase a vyhledání daných záškodnických ASN.
zdrojova IP budou napadene PC a routery lidi po celem svete, takze filtrovat podle ASN bude problem (ale facebook a youtube pojede, takze Internet bude funkcni ). Filtrovat podle cilove IP (RTBH) je taky na pytel, pokud to postihuje cely Tvuj IP rozsah. Efektivni by byl FlowSpec ale ten v NIXu nejde vyuzit.
Jinak na tuhle detekci je z levnych reseni asi nejlepsi uz zmineny FastNetMon. Vyzaduje to jen stroj na kterem pobezi a na ktery lze z mirorovat (v optimalnim pripade) traffic nebo posilat sFlow apod.
0 x
dnes okolo 13:32 další útok zatím nejdelší....
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
-
- Příspěvky: 1246
- Registrován: 11 years ago
okoun píše:dnes okolo 13:32 další útok zatím nejdelší....
V Nix tech-confu nekdo (mozna Ty?) zminuje, ze dostal mail s zadosti o vypalne v BTC jinak budou utoky pokracovat....
0 x
trocha infa ..
Dear peering partners,
Because I see only an information like "we are under attack" with no
technical information, I would like to provide some.
We experienced 20Gbps+ attacks facing some of our IP transit customers,
typicaly those having their own ASN and one or two smaller prefixes. The
mode they use is "carpet bombing", i.e. spread over the whole prefix.
Traffic is udp/0 -> udp/0, udp/389 -> udp/any and icmp type 3. Packet
size varies. Sources spread over the world. They take longer time than
usual five minutes, we have seen such attacks taking up to two hours.
The most of such a traffic we got over DE-CIX, AMS-IX and IP transit
partners. Traffic over NIX.CZ is not significant.
Due to the attack characteristics, it is inefficient to use filtering
rule nor RTBH. It is possible to mitigate such an attack an efficient
way using more flowspec rules or TMS. Contact your upstream operators if
your uplinks become congested.
Dear peering partners,
Because I see only an information like "we are under attack" with no
technical information, I would like to provide some.
We experienced 20Gbps+ attacks facing some of our IP transit customers,
typicaly those having their own ASN and one or two smaller prefixes. The
mode they use is "carpet bombing", i.e. spread over the whole prefix.
Traffic is udp/0 -> udp/0, udp/389 -> udp/any and icmp type 3. Packet
size varies. Sources spread over the world. They take longer time than
usual five minutes, we have seen such attacks taking up to two hours.
The most of such a traffic we got over DE-CIX, AMS-IX and IP transit
partners. Traffic over NIX.CZ is not significant.
Due to the attack characteristics, it is inefficient to use filtering
rule nor RTBH. It is possible to mitigate such an attack an efficient
way using more flowspec rules or TMS. Contact your upstream operators if
your uplinks become congested.
1 x
Dalibor Toman píše:okoun píše:dnes okolo 13:32 další útok zatím nejdelší....
V Nix tech-confu nekdo (mozna Ty?) zminuje, ze dostal mail s zadosti o vypalne v BTC jinak budou utoky pokracovat....
nene já ho teprve čekám
jinak to info je z toho našeho útoku co jsem řešil i s dialem.... útok trval docela dlouho
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Myslím, že jsme tu všichni technici, takže by bylo vhodné ten údaj "docela dlouho" upřesnit. Díky
0 x
Peyrak píše:Myslím, že jsme tu všichni technici, takže by bylo vhodné ten údaj "docela dlouho" upřesnit. Díky
chceš to na sekundy? snad to bude stačit: 13.5.2019 13:32-15:14
s porovnáním v neděli kdy to bylo jednou 15minut a podruhé 20minut je toto dost....
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
-
- Příspěvky: 164
- Registrován: 8 years ago
- Bydliště: Zlín , Otrokovice , Kroměříž
- Kontaktovat uživatele:
basty píše:Staci se podivat na grafy nixu...
Podle grafů v nixu to je problém více sítí a vysaturuje jim to vždy linku na max na cca 15min a pak přestane....
0 x
Ano. Jen ty co mají úzký link, nebo spíš u těch silných je to tak slabý že je to nepozorovatelný .
1 x
heh:-) no je docela rozdíl sypat UDP na cíl a zvednout traffic z 200M na 1G a jinak z 1G na 10G, že
spíš je to průser NIXu, že v dnešní době vůbec řešej 1G porty, vždyť to je ostuda, se divím že neprodávaj 100M/10M porty.... beztak hardwarově to je 10G port ..
no nic to je ta politika ..
spíš je to průser NIXu, že v dnešní době vůbec řešej 1G porty, vždyť to je ostuda, se divím že neprodávaj 100M/10M porty.... beztak hardwarově to je 10G port ..
no nic to je ta politika ..
1 x