В 58 выпуске (https://sdcast.ksdaemon.ru/2017/07/sdcast-58/) подкаста SDCast (mp3, 72 MB (https://sdcast.ksdaemon.ru/podlove/file/257/s/download/SDCas...), ogg, 56 MB (https://sdcast.ksdaemon.ru/podlove/file/256/s/download/SDCas...)) состоялось интервью с Павлом Одинцовым, разработчиком системы обнаружения DDoS-атак FastNetMon. В подкасте обсуждаются как теоретические вопросы о типах DDoS-атак, их целях и способах реализации, так и практические вопросы защиты и обнаружения DDoS-атак в контексте открытой системы мониторинга FastNetMon (https://github.com/pavel-odintsov/fastnetmon).
URL: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/
Новость: http://www.opennet.me/opennews/art.shtml?num=46806
Как обычно - отвечаю на вопросы в комментариях :)
Есть ссылка на листинг интервью?
Полный листинг есть: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/ Но в подкасте есть вещи не упомянутые в нем, так как это был лишь план подкаста, а не его расшифровка.
А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем только UDP, если опять не помогло блокируем TCP кроме 80/443 портов и уже потом блокируем весь трафик.
> А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик
> на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика
> и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем
> только UDP, если опять не помогло блокируем TCP кроме 80/443 портов
> и уже потом блокируем весь трафик.Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).
Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.
В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.
Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.
> Это хороший кейс, его можно реализовать через notify_scriptЛогично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.
Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.
А DDoS по IPv6 как блокируйте? Через BGP его уже не заблокировать.
> А DDoS по IPv6 как блокируйте? Через BGP его уже не
> заблокировать.Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии.
Подкаст в 2017? Серьёзно?
Ublock режет кстати запись.
У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.