Re: [Comm] Способы защиты от флудаиDDoSатак

[Anton <grimnir@park-net.ru>]

On Monday 30 September 2002 11:51, you wrote:
> On 30 Sep Mon 11:33, Anton wrote:
> > > А чтение /usr/src/linux/Documentation/networking/ip-sysctl.txt
> > > может помочь?
> >
> > это вопрос или предложение?
>
> Сначала предложение, а после прочтения вопрос -
> содержится ли там инф., помогающ. защититься от флуда?
> Я имею ввиду
> icmp_destunreach_rate
> icmp_paramprob_rate
> icmp_timeexceed_rate
> icmp_echoreply_rate
>
> Это не то, что нужно?

тут и читать нечего
проверено на практике как со стороны защищающейся так и атакующей:)
защитится можно от ДоС атак направленных на различные сервисы и использующие 
в них ошибки. От флуда нет защиты, реально, можно только запретить своему 
компьютеру-сети отвечать на различные запросы либо уменьшить количество 
ответов. Если полностью запретить ICMP_ECHO ответ то трафик и подгаживание 
канала уменьшится ровно в два раза, однако трафик в Вашу сторону это 
нисколько не уменьшает.
Когда у меня на бывшей работе мне устроили DDoS, я просил провайдера 
mksnet.ru перекрыть (зафильтровать) те узлы с которых идет флуд на мой 
сервер, начто мне было сказано, ну уж нафиг что бы весь мусор скапливался у 
нас? В итоге через 2 часа админы провадера сказали что атака идет примерно с 
20-30 узлов с каналов от 2 до 100 мегабит, некоторые из них вылетают но 
добавляются новые и у провайдера из за этого флуда страдают голосовые клиенты 
вот так вот, так же они просили своих партнеров перекрыть доступ к тем сетям 
с которых флудят
а закончилось это все тем что пол инета было закрыто
открыта была только зона .ru да и то не вся. бардак два дня продолжался.
а правила файрвола вообще почти месяц потом разбирали:) че там они в спешке 
натворили назакрывали.

Так что полноценной защиты от DDoS -типа флуд не существует, можно только 
уменьшить гоняемый трафик меж сетями