Re: ochrana proti DDOS

From: Martin Vyroubal <vyroubal (zavinac)>
Date: Wed, 20 Feb 2008 15:36:26 +0100
Diky za super informace... zkusim se podivat jak snadno se da ten guard
sehnat, a kolik stoji. problem bude v tom "V tomto štádiu nesmú ísť na sieť
žiadne útoky" :)) 80 utoku za vterinu tuhle podminku asi nesplnuje. Takze
zmena IP asi napred.

2008/2/20, Dr. Willy <onyx (zavinac) ba.telecom.sk>:
>
> Nie je to az take jednoduche...
>
> http://www.zive.sk/default.aspx?article=273909
>
> http://pocitace.sme.sk/c/3481663/Utok-proti-ktoremu-niet-obrany.html
>
>
> Ochrana proti DDoSu
> Pozrime sa teraz na ochranu proti uvedeným štyrom doteraz
> najpoužívanejším spôsobom útoku DDoSom. Proti všetkým útokom sa dá
> chrániť len do určitej miery. Proti silným útokom je žiaľ každá ochrana
> neúčinná.
>
> Štandardnou ochranou proti DDoSu sú správne nastavenia serveru či
> klientskej stanice. Samozrejmosťou je kvalitné zariadenie ako router a
> firewall. Tým sa dá do určitej miery predísť útokom typov UDP flood,
> ICMP flood a TCP flood. Dokážu zneškodniť niekoľko tisíc zombie počítačov.
>
> Útok zahltením webového servera sa ani dobrým routerom či firewallom
> odchytiť nedá. Zostáva jediná možnosť - analýza paketov (požiadaviek).
> Špičkou na trhu je spoločnosť Cisco so svojím produktom Guard. Keďže
> útočí stroj, je každá požiadavka - nech vyzerá akokoľvek náhodne -
> vygenerovaná a má svoj vzor. Guard využíva tento fakt a pri analýze
> každej požiadavky na server hľadá nejaký vzorec. Ak ho objaví, IP adresu
> zablokuje. Takáto ochrana má úspešnosť 96 % až 98 %, v závislosti od
> kvality útoku a zložitosti vzorcu pre filtráciu.
>
> Guard sa pri prvom nasadení na novú sieť (napríklad housing) zapne do
> tzv. Learning módu - stavu učenia sa. V tomto štádiu nesmú ísť na sieť
> žiadne útoky. Guard počas tohto módu analyzuje bežnú dátovú prevádzku
> (traffic) a učí sa ju rozpoznávať. Tento mód trvá okolo 24 hodín.
> Následne sa prepne do tzv. Protekčného módu (chránenie), kedy si už
> „plní svoje povinnosti" a analyzuje prevádzku za účelom filtrovania.
>
> Guard sa skladá z dvoch častí:
>
> Cisco Anomaly Detector
> Cisco Guard .. krátené!
>
>
> Snehulak napsal(a):
> > Podle me kazdy lepsi router je odolny proti DDos utokum . Smeroval
> > bych to timto smerem nejakou specializovanou krabicku v radu par tisic
> > ktera by to mohla vyresit .
> >
> > snehulak
> >
> > 2008/2/20 Martin Vyroubal <vyroubal (zavinac) gmail.com>:
> >> Zdravim,
> >> chtel bych se zeptat, jestli muzete nekdo poradit s nasledujicim
> problemem.
> >> Bratr ma web ohledne Direct connectu (hublist.cz). Nekdo (nekdo urcity
> z
> >> Rumunska) ovsem chce, aby tato stranka nefungovala, protoze jim banuje
> huby
> >> za fake poctu klientu (stejne dopadl hublist.org). Server jede na
> Windows
> >> 2003 a brani ho Kerio Firewall server. Jenze to pocitac nezvlada (dual
> >> opteron nejaky stary). Pocet pristupu z rumunska je asi 300 000 za
> hodinu
> >> (80 za vterinu). Pocet rozsahu z kterych utok prichazi je neco malo
> pres
> >> 9000, ne IP adres, ale rozsau IP adres. Vite nekdo o nejakem FW, ktery
> by
> >> dokazal v realnem case projizdet tolik rozsahu zablokovanych IP? Do
> Keria
> >> takovy pocet nejde ani naimportovat. Nebo nejake jine reseni, ktere by
> mohlo
> >> pomoci? Samozrejmosti je limit financni omezenosti:)
> >>
> >
>
> --
> -----------------------------------------------------( reklama )-----
> SKOLENI VYHODNOCOVANI STATISTIK NAVSTEVNOSTI: 26. 2. v Praze
> Naucte se vycist ze statistik navstevnosti, kde uzivatele na vasem
> webu tapou. Zjistete, kde a v cem selhava navigace, kde a jak upravit
> vzhled nebo texty stranek, aby se z navstevniku stali zakaznici.
>
> http://www.dobryweb.cz/skoleni-vyhodnocovani-navstevnosti/?from=km-in-navstevnost
> ---------------------------------------------------------------------
> --
> -- Konference: SERVIS ------ Pravidla: http://pravidla.kab.cz/ --
> -- Archiv, instrukce pro odhlaseni: http://internet.nawebu.cz/ --
> -- Konference Internet Info, s.r.o. ----- http://www.iinfo.cz/ --
>
>
Received on 20. 02. 2008, 15:36 CET

This archive was generated by hypermail 2.2.0 : 20. 02. 2008, 15:36 CET