Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?
v obecne rovine mas 2 problemy
1) jak rychle detekovat probihajici utok. Zrychleni odezvy znamena mit ze sitovych prvku informace o packetech hned. Netflow napriklad agreguje informace, takze generuje data se zpozdenim. Pro male site muze byt optimalni dostat do detektoru data z mirorovanych portu routeru/switchu
2) jak reagovat na utok. Obvykle vyuziti RTBH, znamena, ze sice utok zastavis, ale zaroven s nim i jakykoliv jiny tok na dane IP/sit. Takze musis umet filtrovat ne na bazi ciloveho IP ale na bazi sitovych sluzeb. Takze musis pouzit napr BGP flowspec.
jako levne ale funkcni reseni (vyzaduje ale odvest nejakou vlastni praci a invenci) je pro mensi nasazeni FastNetMon. Je schopen detekovat DDoS behem 1 sekundy (kontroluje prekroceni nastavenych hodnot jedno za sekundu), vygenerovat RTBH ci FlowSpec routu atd. Teoreticke naklady jsou jen na nejaky linux router vybaveny podporovanycmi 10gbps sitovkami.
Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.