Pull to refresh

Comments 11

Спасибо, интересные скрипты! И вариант с ip route blackhole будет работать очень эффективно за счет обратки по очень эффективным алгоритмам внутри ядра, но он может блокировать лишь весь трафик, если нужно отсечь часть — это не выйдет.
Все верно, для этого есть вариант с iptables
Да, в случае GeoIP в принципе префиксов не так много на страну,

Топ 10 выглядит примерно так:
cat /tmp/GeoIPCountryWhois.csv | sed 's/[,"]/ /g' | awk '{print $5}'|sort |uniq -c | sort -g |tail -n 10
2541 UA
2573 NL
2732 PL
2863 AU
2965 CA
3035 FR
4772 DE
5401 RU
6236 GB
8327 US


Хотя если используется десятка стран, то это почти 50 000 правил, что не лучшим образом скажется на производительности.
Все верно, для этого есть вариант с iptables
К какому кейсу можно применить данное руководство?
1) Злоумышленник арендовал 20 серверов с гигабитным шаредом в OVH и съел канал.
Именно для этого случая используется BlackHole Community 666 на BGP шлюзе. Ваш способ не подходит, канал итак забит.
2) Атака является распределенной. Данный способ также не поможет.
FreeLSD, задача поиска «универсального средства отражения DoS/DDoS» не стояла перед нами, рассматривался лишь один из подходов — фильтрация по ASN. Который, к слову, может быть использован для отражения атак любой емкости с любым числом атакующих узлов с небольшими изменениями (разумеется, меняется реализация, вместо iptables потребуются высокопроизводительные фаерволлы и роутеры, в которые должна быть загружена информация об атакующих узлах).

1) Уж не знаю как поможет BGP Blackhole «отбить атаку», так как он предназначен для полного отсечения трафика на определенный свой IP, а не для блокировки IP/сетей злоумышленников. BGP Blaсkhole может быть использован как средство защиты Дата Центра/инфраструктуры, но это вовсе не средство для борьбы с атакой и ее отражения.

К слову, приведенный Вами OVH довольно «субъективно» относится к безопасности своих сетей и это отчетливо видно по странице: stopddos.ru/current/

2) В статье хорошо описано, что как раз на случай распределенных атак это становится актуально. По нашим наблюдениям ботнеты обычно создаются на базе определенного Датацентра/провайдера.

Разумеется, как я уже сказал Выше данный способ не позволяет решить всех проблем с атаками, но то, что его требуется иметь в арсенале — безусловно.

Если кому интересны кейсы кроме отбива атак могу привести несколько идей наскидку:
— Блокировка/разрешение доступа к определенным ресурсам на основании провайдера (например, в случае локальных ресурсов, которые частично смотрят в сеть)
— Сбор статистики о провайдерах посетителей сайта
— Отсечение тех или иных «особо назойливых» ботов
— Включите фантазию :)
Для бана школьников достаточно tcpdump + iptables. Только это не DDos. А вот если не зайти на консоль, когда развлекаются от гигабита, то кроме железа от Juniper на уровне ДЦ ничего не поможет.
Ну почему же, 10 и 40 гигабит подводимые к оконечному оборудованию (серверу) уже вовсе не редкость. Тем более, Linux ничем не хуже по части роутинга, чем специализированное железо. А если учесть новые карты на рынке класса Intel 540, то вообще ничем-ничем не хуже.

Кроме этого, Вы же понимаете, что «железо от Juniper» не поможет даже от половины типов атак. Все более-менее нестандартные атаки отражаются сложным анализом трафика от клиентов и последующей генерацией правил для сетевого оборудования.
Тема стара как мир, но ихмо, не понятно зачем это делать на уровне ОС :)
А на каком делать? Если вопрос касается анализа трафика в бизнес-приложении, то, разумеется, правильнее сделать его на уровне приложения через тот же GeoIP, но если же задача реализуется на уровне системного администрирования — то, увы, это самый эффективный способ.
Sign up to leave a comment.