Если Враг у ворот! Или как избавиться от внешней угрозы в BM

[Андрей Добров]

Да именно так враг у ворот.
Имеется КОЗЁЛ или стадо данной разновидности животинки и чем пробовляются, что стреляют по бордюру, точнее по серверу который смотрит в инет.
Если смотреть в PktScan - то идёт перебор портов с нескольких IP начиная с 2000 и далее до 65000. Канал ёк от данной широкополосной атаки! Далее всё восстанавливается. И так по несколько раз в день.
Что делать в таких ситуациях! Или как данную проблему решает уважаемое сообщество админов.
Имеем сейчас
1. Сервер NW 6.5 SP4a
2. BorderManager 3.8 sp 4
3. Канал - 256К.

Если подкрутить - то с великой радостью.

[Влад А.Сокол aka Akina]

У меня на входе стоИт простейшая железа - бродбанд - которая такие вещи дропает не спрашивая... но если они входящим трафом съели весь канал - с твоей стороны это не решается. Общайся с провом на предмет фильтрации DoS-атак.

[Андрей Добров]

Так BorderManager справляется. Т.е. всё пока работает, немного увеличивается загрузка процессора, но 2-3 процента роли не играют.
Поставить ешё железку? Можно но чем она будет лучже Boreder-а.
Если конечно это не PIX или того же класса железка других производителей. Да, эти монстры делаю многое, но СТОЯТ ахово. И зачем в таком случае Border?
Не ужели нет лекарство от данной напасти?
Или ни кого так не задевало?

[Boris Morozov]

Значит это к держателю канала.
Если атака с ограниченного множества IP адресов, то провайдер теоретически может их забанить на маршрутизаторе. Но это теоретически, и вряд ли провайдер будет это делать. А практически, смотреть IP адреса и писать письма их провайдерам. Очень эффективно. Если стадо небольшое, то проблема решается.

[Алексей Волков]

Общайся с провом на предмет фильтрации DoS-атак.

Вам правильно ответили, что нужно переговорить с вашим провайдером на предмет блокирования данных адресов, как минимум, или более совершенного метода фильтрации DoS-атак. С вашей стороны абсолютно всё равно, что стоит... даже если PIX, канал всё равно будет засыраться. Ведь вы не можете запретить со своей стороны этим умникам посылать на вас пакеты, следовательно, если провайдер у себя не позапрещает их, пакеты будут посылаться в ваш канал, доходить до бордера и дропаться на нём. Понимаете?

[Андрей Добров]

Ok. Спасибо за поддержку.
Я услышал то что знал, догадывался, то что наверно хотел услышать.
Но надеялся, может имеется что-то ещё такое что не учёл.
Но нет, чудес не бывает. Теория и практика говорит одно - отсреливать козлищ этих надо и стрелком должет выступать провайдер. А он - этот провайдер пальцы гнёт и говорит - вот если бы была бы у Вас CISCа, а вот если бы FreeBSD, а по сему ни чем помочь не можем. Уроды - одно слово.

[Андрей Тр. aka RH]

А он - этот провайдер пальцы гнёт и говорит - вот если бы была бы у Вас CISCа, а вот если бы FreeBSD, а по сему ни чем помочь не можем. Уроды - одно слово.

Так провайдеру ( да и вообще никому, по большому-то счету ) даже не надо говорить, что у вас там стоит. Пакеты идут - проблема в этом ( остальное уже следствие, и к провайдеру отношения не имеет ). Более того, судя по всему - как уже сказали - со своим провом об этом можно даже не говорить - надо говорить сразу с козлиным, или с тем, чьи именно это адреса. Вот уж им-то точно не надо знать, что у вас стоит за девайс и какой на нем софт.

А своему можно ответить в том смысле, что если б была Фря или еще какой *никс, то, может, давно бы уже поломали ... ( утрирую, конечно ).

[Мещеряков Андрей]

Так провайдеру ( да и вообще никому, по большому-то счету ) даже не надо говорить, что у вас там стоит. Пакеты идут - проблема в этом ( остальное уже следствие, и к провайдеру отношения не имеет ). Более того, судя по всему - как уже сказали - со своим провом об этом можно даже не говорить - надо говорить сразу с козлиным, или с тем, чьи именно это адреса. Вот уж им-то точно не надо знать, что у вас стоит за девайс и какой на нем софт.

А своему можно ответить в том смысле, что если б была Фря или еще какой *никс, то, может, давно бы уже поломали ... ( утрирую, конечно ).

Солидарен на все 120% Можно даже не утрировать. Ну... а в какчестве альтернативы... попробовать попинговать этих самых парнокопытных

[Павел Гарбар]

Эта проблема не имеет технологического решения, как и спам. У тебя же публичный IP адрес и никому не запрещено пытаться связаться с тобой по этому открытому адресу или искать контактов по всем известным адресам/портам, но такой вид активности сразу вызывает подозрение у опытных и хороших провайдеров (хотя по большому счету это тоже не их собачье дело для чего это делается). Не очень точная, но аналогия - есть номер телефона (и это не секрет) по нему может позвонить кто угодно и сколько угодно раз. Ты можешь не снимать трубку (например с тебя денег не снимут), но другие (нужные тебе люди) не смогут дозвониться, телефон все время будет звенеть, а если радио (сотовый) телефон, то еще и батарея будет садиться. Технически это тоже не решается. Только орг. мерами - с помощью телефонистов или смена номера (опять же без гарантий).
Пинговать может и не стоит - а вдруг это зомбированные станции или адреса фальшивые? Тогда ты станешь тем самым врагом, но уже для других людей. Самый правильный способ - связаться в провайдером, который отвечает за те адреса, от имени которых тебе это валится и предоставить ему лог. Хотя, если адреса фальшивые, и тот провайдер тебе тоже не сможет помочь. А твой провайдер - реально сам козел, если не хочет (а я думаю что не может) помочь. И их ссылки на циски и фрюхи - не более чем подписывание под собственной неграмотностью и/или бессилием. Пусть они скажут, чем циска бы им помогла, будь она у тебя? Да ничем - пакеты бы так и приходили до интерфейса этой циски, т.е. канал был бы забит.
Сейчас таких провайдеров без знания/понимания основ сетей очень много и учить их всех не переучить! Некоторые пытаются и мне баки забивать :-) (а я иногда цисковским CCIE рекомендации/указания выдаю).
Еще один вариант - смена твоего внешнего адреса. Хотя это тоже не поможет, если козлищи сканируют диапазон не только портов, но и адресов.

[Владимир Горяев]

Была у меня подобная ситуевина. Проанализировал трафик на ифейсе и дропнутые пакеты (в основном всякие виндовые службы, очевидно всякие вирусы, зомби и кулхацкеры). Попросил прова прикрыть такие-то порты в мою сторону, в вежливой форме послали с мотивировкой "таких услуг не предоставляем и вообще инет - большая помойка..." Так что Павел прав...

[Мещеряков Андрей]

Тогда расширьте канал, и будет вам счастье

[Владимир Горяев]

Тогда расширьте канал, и будет вам счастье

Касательно меня, то хватает канала, просто не люблю того чего не управляю