Nie je to az take jednoduche... http://www.zive.sk/default.aspx?article=273909 http://pocitace.sme.sk/c/3481663/Utok-proti-ktoremu-niet-obrany.html Ochrana proti DDoSu Pozrime sa teraz na ochranu proti uvedeným štyrom doteraz najpoužívanejším spôsobom útoku DDoSom. Proti všetkým útokom sa dá chrániť len do určitej miery. Proti silným útokom je žiaľ každá ochrana neúčinná. Štandardnou ochranou proti DDoSu sú správne nastavenia serveru či klientskej stanice. Samozrejmosťou je kvalitné zariadenie ako router a firewall. Tým sa dá do určitej miery predísť útokom typov UDP flood, ICMP flood a TCP flood. Dokážu zneškodniť niekoľko tisíc zombie počítačov. Útok zahltením webového servera sa ani dobrým routerom či firewallom odchytiť nedá. Zostáva jediná možnosť - analýza paketov (požiadaviek). Špičkou na trhu je spoločnosť Cisco so svojím produktom Guard. Keďže útočí stroj, je každá požiadavka - nech vyzerá akokoľvek náhodne - vygenerovaná a má svoj vzor. Guard využíva tento fakt a pri analýze každej požiadavky na server hľadá nejaký vzorec. Ak ho objaví, IP adresu zablokuje. Takáto ochrana má úspešnosť 96 % až 98 %, v závislosti od kvality útoku a zložitosti vzorcu pre filtráciu. Guard sa pri prvom nasadení na novú sieť (napríklad housing) zapne do tzv. Learning módu - stavu učenia sa. V tomto štádiu nesmú ísť na sieť žiadne útoky. Guard počas tohto módu analyzuje bežnú dátovú prevádzku (traffic) a učí sa ju rozpoznávať. Tento mód trvá okolo 24 hodín. Následne sa prepne do tzv. Protekčného módu (chránenie), kedy si už „plní svoje povinnosti“ a analyzuje prevádzku za účelom filtrovania. Guard sa skladá z dvoch častí: Cisco Anomaly Detector Cisco Guard .. krátené! Snehulak napsal(a): > Podle me kazdy lepsi router je odolny proti DDos utokum . Smeroval > bych to timto smerem nejakou specializovanou krabicku v radu par tisic > ktera by to mohla vyresit . > > snehulak > > 2008/2/20 Martin Vyroubal <vyroubal (zavinac) gmail.com>: >> Zdravim, >> chtel bych se zeptat, jestli muzete nekdo poradit s nasledujicim problemem. >> Bratr ma web ohledne Direct connectu (hublist.cz). Nekdo (nekdo urcity z >> Rumunska) ovsem chce, aby tato stranka nefungovala, protoze jim banuje huby >> za fake poctu klientu (stejne dopadl hublist.org). Server jede na Windows >> 2003 a brani ho Kerio Firewall server. Jenze to pocitac nezvlada (dual >> opteron nejaky stary). Pocet pristupu z rumunska je asi 300 000 za hodinu >> (80 za vterinu). Pocet rozsahu z kterych utok prichazi je neco malo pres >> 9000, ne IP adres, ale rozsau IP adres. Vite nekdo o nejakem FW, ktery by >> dokazal v realnem case projizdet tolik rozsahu zablokovanych IP? Do Keria >> takovy pocet nejde ani naimportovat. Nebo nejake jine reseni, ktere by mohlo >> pomoci? Samozrejmosti je limit financni omezenosti:) >> >Received on 20. 02. 2008, 13:59 CET
This archive was generated by hypermail 2.2.0 : 20. 02. 2008, 14:00 CET