co dělat s ddos od NIXu?

[okoun]

nevíte prosím co máme dělat již dnes 2x s plně saturovanym portem od nixu díky ddos útoku? nenašel jsem u nich žádné NOC číslo, které by fungovalo 24 hodin.

díky

[K3NY]

RTBH

[rsaf]

Nepořizovat si NIX když na to nemáš schopnosti.

[okoun]

leší odpověd spíš bude rovnou se nenarodit...

[johnyboi]

https://www.nic.cz/files/nic/IT_17/Prez ... _Jiran.pdf

Tady najdes rtbh komunity.

[okoun]

díky za reakci k danému problému
s tímto by asi problém nebyl já mám spíš problém jak efektivně zjištovat jaké IPčka mi posílají mraky toho mrnavého svinstva.
našel jsem do mangle toto: add action=add-src-to-address-list address-list=mozny_ddos address-list-timeout=none-dynamic chain=prerouting comment=detekce_ddos connection-limit=1000,32 connection-state=new in-interface-list=tranzit
ale je to skutečně dobře?

[johnyboi]

díky za reakci k danému problému
s tímto by asi problém nebyl já mám spíš problém jak efektivně zjištovat jaké IPčka mi posílají mraky toho mrnavého svinstva.
našel jsem do mangle toto: add action=add-src-to-address-list address-list=mozny_ddos address-list-timeout=none-dynamic chain=prerouting comment=detekce_ddos connection-limit=1000,32 connection-state=new in-interface-list=tranzit
ale je to skutečně dobře?

Nezbiras si nekde netflow data? Tam byto so seradit dle pps, coz by ti ukazalo hezky kam leti ten ddos

[okoun]

ano to mám, ale problém bude to nějak rychle vyhodnocovat

[johnyboi]

ano to mám, ale problém bude to nějak rychle vyhodnocovat

Mas nfsen? Nebo kde si to collectujes na cem?

[okoun]

používám klasický flow tools na linuxu

[johnyboi]

To neznam vubec. Musis si to proste seradit data z daneho timeslotu kdy utok prebihal. Zajimaji te dst ip seradene dle pps. Ta co bude prvni v listu je z nejvecsi pravd. cilem ddosu. Potvrdis si to tim ze tu adresu zadas do filtru jako dst ip a vypises si src ip. Uvidis velke mnozstvi flowu z ruznych adres zhruba ze stejnyma hodnotama(pps,bps).

[K3NY]

Kód: Vybrat vše

https://fastnetmon.com/

[Julian]

nevíte prosím co máme dělat již dnes 2x s plně saturovanym portem od nixu díky ddos útoku? nenašel jsem u nich žádné NOC číslo, které by fungovalo 24 hodin.

díky

Co použít email?, nicméně nevím zda s tímto by ti mohli pomoci, přeci jen je na tobě, abys ten provoz odbavil (třebas i do patřičných mezí)
[email protected]

R

PS.: určitě se nejedná o ddos od NIXu, ten za to asi fakt nemůže, ale o data která k tobě tečou přes NIX. Takto napsané je to prakticky poplašná zpráva.

[okoun]

no tak to snad každý chápe že to není NIXu
ano email na noc jsem už konečně našel taky...

je to už vyřešeno

[TTcko]

Co použít email?, nicméně nevím zda s tímto by ti mohli pomoci, přeci jen je na tobě, abys ten provoz odbavil (třebas i do patřičných mezí)
[email protected]

R

PS.: určitě se nejedná o ddos od NIXu, ten za to asi fakt nemůže, ale o data která k tobě tečou přes NIX. Takto napsané je to prakticky poplašná zpráva.

na nás šlo 30Gbps, všechno amplifikovanej UDP .. tak teď šup sem s tím řešením, jak bys to odbavil....