DDoS anulando para alguns ips e outras opções? [duplicado]

1

Estou procurando algumas informações sobre DDoS no seguinte cenário:

Eu tenho um servidor que está por trás de um Cisco Guard e ele será DDoS'ed, eu só me preocupo com uma lista de IPS que não são os atacantes.

É possível anular todos os outros ips, mas esta lista para realmente obter qualquer resposta para o meu servidor ou, a longo prazo, não importa o que eu faço se eles têm poder suficiente DDoS eu vou apenas para baixo como um flie?

Existe alguma empresa recomendada por aí que possa realmente lidar com um DDoS?

Meu servidor executará principalmente vários clientes que serão conectados a um servidor externo e tudo o que ele precisa acessar é meu MySQL local, a rede privada, para que eu possa acessá-lo.

Não haverá outros serviços como o web ou ftp etc, pelo menos não para os ips externos do servidor, se eu tiver que ter algum desses serviços, eles estarão na rede privada.

O MySQL estará disponível externamente apenas para 1 ip seguro não conhecido por ninguém além de mim e internamente em localhost + rede privada.

Existe alguma solução?

    
por Prix 04.07.2011 / 10:20

1 resposta

2

Se você quiser limitar os IPs de origem permitidos a um subconjunto conhecido, isso é ótimo do ponto de vista da proteção contra DDoS. O DDoS funciona saturando o tubo; Se você parar o tráfego ruim até a corrente (onde os canos não são infinitos, mas eles estão perto o suficiente para os nossos propósitos) você pode basicamente sobreviver a qualquer DDoS. O truque é fazer com que a lista de permissão / negação fique perto o suficiente do "núcleo" da Internet de que o tamanho do canal pelo qual o DDoS fluirá (até o ponto em que é descartado) é grande para lidar com isso.

O que você precisa fazer é especificar o volume máximo esperado de qualquer possível DDoS (em BPS e PPS) e conversar com os fornecedores para que eles saibam o que você precisa em termos de volume e capacidade de resposta. Certifique-se de que eles são capazes de aplicar sua lista negra imediatamente quando necessário. O recurso que você quer perguntar é comumente chamado de "roteamento de buraco negro em tempo real". Se você estiver executando o BGP de qualquer forma, é bastante trivial fazer isso (como discutido no link ). Se você não está executando o BGP, você precisa identificar com o (s) seu (s) provedor (es) o mecanismo pelo qual você pode iniciar o blackholing (se você tiver que chamar um NOC para colocá-lo no lugar, não se incomode - é trivialmente automatizável).

Teste esse recurso quando você começar a usar e teste-o periodicamente para garantir que ele ainda funcione. Você não quer ter que gritar com o seu provedor porque o blackholing parou de funcionar durante um grande DDoS.

    
por 04.07.2011 / 10:39

Tags