DDoS - projekt fenix ?

WIFI, LTE, dvoubodové spoje, antény atd. Vlákna zaměřené přímo na problematiku MikroTik/RouterBoard a Ubiquiti prosím směrujte do příslušného fóra, viz výše.
Orel005
Příspěvky: 710
Registrován: 8 years ago

DDoS - projekt fenix ?

Příspěvekod Orel005 » 4 months ago

Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?
0 x
http://www.orelsoft.cz / Jediny ISP s HI-TECH servery bez instalacnich poplatku ve stredni Evrope.
Napriklad: 64 jader, 256 GB ram, 4x600 GB SAS 15k, 1 Gbps pripojeni za 14 000,- Kc / mesicne vc. dph.

ludvik
Příspěvky: 3944
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

Fenix není ochrana před DDoS. Fenix je způsob, jak ani při masivním útoku nepřijít o veškerou komunikaci (v rámci Fenixu se "předpokládá", že to pojede vždy).
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
hapi
Příspěvky: 11574
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 months ago

slovo ddos u fenixu nemělo padnout nicméně spojuje subjekty mezi sebou přes solo peery takže když přijde na subjekt ddos z hlavní lajny tak přesto peery ve fenixu běží dál. Kdyby v čechách každej měl českou a zahraniční konektivitu jako že českou s českýmy peery tak by to nejspíš bylo stejný jako fenix ačkoliv fenix má určitá kritéria pro vstup která třeba nix ani superNetwork nemá a je třeba je splnit a dodržovat takže by to mělo smysl.
1 x

Orel005
Příspěvky: 710
Registrován: 8 years ago

Příspěvekod Orel005 » 4 months ago

A tak co používáte vy ? Vím, ze dokud někomu člověk nebude ležet v žaludku tak ma relativně štěstí. Ale stačí jeden blbec a muze Vam opravdu zneprijemnit život. My si platime drahou ochranu ale v poslední době je to tak nahoubx ze už musí hledat jiné řešení. Ochrana funguje ale vysvetlete hráči, ze ma během dne 20x na 30 vteřin ppl. Nez se prepne na zálohu tak to chvilku trva, a pokud je útok on/off tak je to oto otravnejsi. A ochrana kterou si platime Vam řekne ze nic neni 100% a ze lze považovat za úspěch ze je to jen par vteřin. Bezně to je prý i par minut.
0 x
http://www.orelsoft.cz / Jediny ISP s HI-TECH servery bez instalacnich poplatku ve stredni Evrope.
Napriklad: 64 jader, 256 GB ram, 4x600 GB SAS 15k, 1 Gbps pripojeni za 14 000,- Kc / mesicne vc. dph.

Uživatelský avatar
okoun
Příspěvky: 5742
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 4 months ago

co třeba zkusit upstreama, který právě je členem fenixu? každopádně spolehlivé řešen íneexistuje pro tak malé isp.
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

rsaf
Příspěvky: 816
Registrován: 12 years ago

Příspěvekod rsaf » 4 months ago

Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.
3 x

Uživatelský avatar
okoun
Příspěvky: 5742
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 4 months ago

rsaf píše:Okoune umíš číst? Na čem jedeš? FENIX tohle neřeší.
FENIX je ochrana "kritické infrastruktury" před extrémními plošnými DDoS útoky. Když budu ve FENIXu a něco takového přijde (na mě, nebo i na víc sítí v ČR) tak ty linky ustřihnu a nechám si jen "bezpečné" do FENIXu. Pokud na FENIXu bude infrastruktura státu (NIX na to tlačí), nějaké ROOT DNS (to si asi taky NIX pohlídal) a důležité služby (zpravodajství, banky s jejich kartovými centry...) tak i při takto ustřižené konektivitě zajistím lidem to opravdu důležité. A přežiju to takhle klidně i několik hodin. Hráče, kterému padá hra co jede proti datacentru někde na druhé straně Evropy to neřeší.


jakto že to neřeší? píošu že členové fenixu by měli mít zajištěnou tzv kritickou infrastrukturu po dobu útoku, to není pravda?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

Uživatelský avatar
sub_zero
Příspěvky: 1503
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 months ago

napr: https://www.netscout.com/arbor nebo https://www.fortinet.com/products/ddos/fortiddos.html (pouzivame my)
Ale nutnost je mit silnou upstream linku, jinak dojde k ucpani.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

K3NY
Příspěvky: 216
Registrován: 2 years ago

Příspěvekod K3NY » 4 months ago

Kód: Vybrat vše

https://fastnetmon.com/
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 months ago

Orel005 píše:Zdravim,
posledni dobou nam do site pronikaji DDoS a jine utoky a uz me to vazne stve. Jedinec nebo mozna konkurence si zaplati utok ten i pres placenou ochranu pronikne do site a zpusobi treba jen na par chvil saturaci. Jak to resite, je resenim treba projekt fenix ?


v obecne rovine mas 2 problemy
1) jak rychle detekovat probihajici utok. Zrychleni odezvy znamena mit ze sitovych prvku informace o packetech hned. Netflow napriklad agreguje informace, takze generuje data se zpozdenim. Pro male site muze byt optimalni dostat do detektoru data z mirorovanych portu routeru/switchu
2) jak reagovat na utok. Obvykle vyuziti RTBH, znamena, ze sice utok zastavis, ale zaroven s nim i jakykoliv jiny tok na dane IP/sit. Takze musis umet filtrovat ne na bazi ciloveho IP ale na bazi sitovych sluzeb. Takze musis pouzit napr BGP flowspec.

jako levne ale funkcni reseni (vyzaduje ale odvest nejakou vlastni praci a invenci) je pro mensi nasazeni FastNetMon. Je schopen detekovat DDoS behem 1 sekundy (kontroluje prekroceni nastavenych hodnot jedno za sekundu), vygenerovat RTBH ci FlowSpec routu atd. Teoreticke naklady jsou jen na nejaky linux router vybaveny podporovanycmi 10gbps sitovkami.
Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.
2 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1565
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 4 months ago

Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.

BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 months ago

zdenek.svarc píše:
Dalibor Toman píše:Utoky, ktere ustoji uplink linky lze odfiltrovat pomoci FlowSpec. Utok, ktere jsou vetsiho kalibru je nutne prehrat na upstream providera - to vetsinou znamena ale RTBH.

BGP FlowSpec lze komunikovat do BGP. RTBH lze komunikovat do BGP (přes BGP Communities). FlowSpec lze klasifikovat podle src/dst, stejně tak z principu RTBH. Není tedy důvod u masivnějšího útoku zůstávat u RTBH, když FlowSpec umožňuje to samé, tzn. blackholing + komunikaci do BGP. Nejspíš to tedy bylo myšleno tak, že FlowSpec ještě všichni upstream provideři nepodporují, ale BGP Communities pro RTBH ano, ok?


samozrejme
0 x


Zpět na „Wireless“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů