форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как защититься от флуда?"
Сообщение от harlan (ok) on 19-Сен-05, 12:22  (MSK)
Имею следующую схему: Провайдер <-> CISCO 2611MX <-> Linux (2.4.27) <-> Локальная сеть. Канал от провайдера 1Mbps. Как легко посчитать, максимальный объём который можно протолкнуть через такой канал - 450 Мбайт/час. Периодически мой сервер флудят из внешней сети (не сети провайдера). Канал оказывается загруженным на 90-95% и продолжаться такой флуд может до нескольких часов. Выключение сервера проблемы не решает. Настройка TARPIT тоже мало чем помогает. И проблема не в том, что сервер DoS, а в том, что закачивается лишний трафик (переходить на анлим - не предлагать. Это мне не по карману). Позиция провайдера в этом вопросе однозначная - "Это ваши проблемы и я ничего блокировать не собираюсь." При этом счета выставляются на 1000-1500 Мб/час. Как правило, флуд идёт с нескольких адресов одновременно. Обращаться к владельцу адресов - бесполезно. Последний раз атака была с модемного пула в Амстердаме (если адреса не подменены). Письма отправляемые владельцу этого пула уходили как-будто в /dev/null. Я не спрашиваю, как "нажать" на провайдера. 1. Подскажите, неужели никак нельзя технически бороться с флудом? 2. Есть подозрение, что этот трафик генерирует сам провайдер. Могу ли я доказать это или можно готовить ликвидационный баланс предприятия? Потому как с таким трафиком я очень скоро вылечу в трубу.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Как защититься от флуда?"
Сообщение от Moralez (ok) on 19-Сен-05, 13:51  (MSK)
Поменять провайдера. Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы кому-то насолили. Например админа уволили, не заплатив итд. Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова нет ничего, то......
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Как защититься от флуда?"
	Сообщение от redmoon (??) on 19-Сен-05, 14:04  (MSK)
	>Поменять провайдера. > >Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы >кому-то насолили. Например админа уволили, не заплатив итд. >Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если >трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова >нет ничего, то...... как работник пова говорю, провайдер ничего фильтровать не будет. А вот обратиться с просьбой к провайдеру типа "про дампите мой траф, и вообще по пристальнее последите за мной недельку" - можно и нужно.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Как защититься от флуда?"
	Сообщение от harlan (ok) on 19-Сен-05, 15:00  (MSK)
	>>Поменять провайдера. >> >>Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы >>кому-то насолили. Например админа уволили, не заплатив итд. >>Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если >>трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова >>нет ничего, то...... Я обратился с такой просьбой. Они уже 10 дней "строят выборку" за один час флужения. Извините, за это время можно и подтасовать данные.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Как защититься от флуда?"
	Сообщение от harlan (ok) on 19-Сен-05, 14:56  (MSK)
	>Поменять провайдера. > >Вообще, реальный хаотический флад никогда не превышает мега в сутки. Значит вы >кому-то насолили. Например админа уволили, не заплатив итд. >Просто так никто не будет уголовщиной маяться. Связываться надо с милицией, если >трафик фэйковый, провайдер огребётся... А проверить-то легко, если у вышестоящего прова >нет ничего, то...... Я работаю админом в этой конторе с момента основания, а единственные, кому мы насолили это наш вышестоящий провайдер. Так как это - телеком, а мы предлагали услугу IP-телефонии. Поменять провайдера не представляется возможным, так как: 1. По условиям нашей лицензии мы имеем право пользоваться каналами только национального оператора, т.е. телекома. 2. Других провайдеров в нашем городе просто нет. В этом и был вопрос: Как доказать, что трафик фэйковый. Милиция сама обращается ко мне (и к спецам из телекома) как к экспертам, так как своих спецов у них нет. Телеком говорит, что логи "кто-откуда-сколько" не хранит (слишком большие объёмы), а хранит только "кто-сколько". Аппелирует к тому, что их биллинг сертифицированный, однако объяснить, как по мегабитному каналу за час можно пропустить полтора (а то и два) гига информации - не хочет (и, скорее всего, не может)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Как защититься от флуда?"
	Сообщение от uldus (ok) on 22-Сен-05, 22:26  (MSK)
	То что это делает ваш провейдер маловероятно, скорее всего неугодили кому-то (может конкуренты), он заплатил 100$ пионеру и тот теперь флудит с затрояненных машин. Отследить и поймать практически нереально. Остается добиваться судебным путем, нетарификации моментов флуда. С телекомами иначе никак, без решения суда динамить будут без конца. Про опломбирование проводов вам правильно посоветовали, закон на вашей стороне, только найдите хорошего юриста. Доказывать что-то придется телекому, а у него, сами говорите,  логов нет и трафик считается больше чем физически возможно прокачать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Как защититься от флуда?"
	Сообщение от harlan (ok) on 23-Сен-05, 12:54  (MSK)
	Насколько мне известно, опломбирование проводов проблемы не решит: 1. Мне нужен интернет для работы, а опломбировать его нужно на длительное время. 2. Телеком использует для снятия статистики NetFlow. Таким образом, если пакет пришел на провайдера, то он посчитается и плевать хотел провайдер, на то, что отправить его некуда. 3. Пломбировать провода хорошо, когда подключение к провайдеру - ethernet и делать это надо скрытно от провайдера, у меня же - выделенная линия. Если выдернуть шнур на моём конце, то на том конце тут же "загорится аварийный сигнал". Соответственно мне надо будет объяснить провайдеру, почему я оборвал линию, а в этом случае, пров примет меры, чтобы не прошло ни бита.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Как защититься от флуда?"
	Сообщение от uldus (ok) on 23-Сен-05, 13:11  (MSK)
	>2. Телеком использует для снятия статистики NetFlow. Таким образом, если пакет пришел Юристы не знают что такое NetFlow, есть договор в котором описана услуга (1 мбит) и есть детализация от провайдера, по которой вам нужно заплатить за выкачивание в несколько раз больше физически возможного по услуге, есть ваши логи по которым вы никакого трафика не получили. На этом и стоит строить обращение в суд. >на провайдера, то он посчитается и плевать хотел провайдер, на то, >что отправить его некуда. В этом случае трафик пришел к ним, а не к вам. Вы не получили услугу (трафик), платить не за что. >Если выдернуть шнур на моём конце, то на том конце тут >же "загорится аварийный сигнал". Соответственно мне надо будет объяснить Пошел флуд - выдернул шнур - у них загорелся сигнал - они звонят вам - зафиксировали, что они подтвердили отсутствие линка - по детализации посмотрели что они на это время посчитали трафик. >я оборвал линию, а в этом случае, пров примет меры, чтобы >не прошло ни бита. А вам не это ли нужно ? Все равно во время флуда работа voip будет блокироавна.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как защититься от флуда?"
Сообщение от lapweed (??) on 20-Сен-05, 17:14  (MSK)
Тогда если ЕСТЬ ВОЗМОЖНОСТЬ делаем следующее: 1. вынимаем провод по которому подаётся интернет из штекера 2. провод опломбируем и юридически фиксируем факт отключения. 3. ждём месячный отчёт и счёт от провайдера. если у вас в счет включен трафик который вы реально не могли потребить (провод вынут из разьёма и опломбирован) берём эти счета и идём к юристу а потом в суд.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как защититься от флуда?"
Сообщение от мелкая пакость on 23-Сен-05, 11:23  (MSK)
к сожалению технически отсечь вы это не сможете никак - всё что ушло по проводу от прова в вашу сторону па-любому вы получите, даже если будете дропать все приходящие пакеты. соответственно и входящий траффик попадёт в биллинг прова, и денежку он вам выставит тоже по входящему (или какой там у вас тариф) траффику. <dumb guess> поставьте свою считалку, если получится - тоже сертифицированную, и потом предъявите ваши логи, если разница будет столь велика есть шанс отсудить бабла за траффик и на пиво в качестве морального ущерба ;) </dumb guess> ну и не забывайте слать мыло администраторам сетей из которых флудят, можт повезёт и прекратят сие безобразие ;)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.