Тяжелые будни ethernet-провайдинга, или Убить за 100 мегабит-секунд
Есть такая особенность в Ethernet-провайдинге - клиенты имеют доступ к серверам на скорости 100 мегабит в секунду. Если про это забывать, можно сталкиваться постоянно с различными нехорошими моментами.
Самое страшное в нашей истории было - это SYN-flood роутера, который выполняли одновременно куча вирусов на клиентских машинах в разных подсетях. Получалась такая распределенная атака на полной скорости. Было время - хотели использовать одну L3-”железяку” в центе сети, чтоб маршрутизировала. Но она оказалась от SYN-флуда абсолютно не защищена. Пришлось отказаться.
А сейчас всплыло другое. Некоторые клиентские машины выступают “участниками” распределенной D.O.S. атаки на некоторые сайты через DNS-запросы. Конкретно сейчас была атака на ultracomp.ru. Начали разбираться насколько у нас противоударный ДНС-сервер. Нашел вот полезную утилитку - dns server DOS test utility. Даже с ограничением в 1000 пакетов (после запуска утилитки) вижу как нагрузка на проц зашкаливает, если “выпулить” все запросы залпом. Пока не ясно как с этим бороться. Когда куча запросов с одно ИП - есть сбособы, но если в дело вступает спуффинг, то труба будет. Одно ясно - нужно сеть все больше и больше сегментировать.
При чтении информации по конфигурированию bind появились новые вопросы, которые теперь сидят в голове. Стоит ли держать два отдельных named-а, где один для внутренней сети, а второй - для внешней, как сейчас, или настроить все на одном через “view” (Split DNS-конфигурация)… Пока склоняюсь ко второму варианту.
Октябрь 10th 2007 in Безопасность
1. фаерволом выставить n запросов/сек от одного юзера + m запросов/сек к серверу всего;
2. ограничить полосу к bind-у шейпером (на другом сервере, перед bind-ом);
3. анализировать скриптом активность юзеров и подозрительных на всякий случай отключать/ограничивать с уведомлением админу.
4. есть более легковесные ns-демоны, попробуй их.
ИМХО, N3+N4.
А как у тебя доступ клиента к роутеру осуществляется? Одно время у нас все малые домовые сети страдали от той же проблемы, что и тебя, а потом взяли на вооружение следующий рецепт:
Доступ к основному роутеру осуществляется через промежуточную железяку, к которой пользователи подключаются при помощи, например, PPTP или L2TP. Пока соединение не установлено, есть только доступ к локальным ресурсам, доступность которых не так критична. Как только поднимается туннель, пользователю автоматически присваиваются нужные настройки при помощи DHCP, и становится доступен основной шлюз, DNS-серверы и интернет.
В итоге спуффинг уже не страшен, а выявить и обрубить проблемное PPTP-соединение - дело техники. Да и биллинговать такой способ доступа проще.
Способ, конечно, не из дешевых, но зато прекрасно зарекомендовал себя в крупных городских сетях. Прикинь, может пригодится “на вырост”.
А крупная сеть - это от скольки пользователей? У нас примерно 1300.
Ну, под крупными я имел в виду сети типа Корбины, Центела итп - это очень крупные игроки на московском рынке. Они последнее время активно скупают малые районные сети, перепродающие их же трафик, и объединяют их в единое целое.
Не только твоя - любая…
Все-таки, 1300 почти неуправляемых пользователей - это уже немало. Пора их в какие-то рамки загонять, пока сеть не начала задыхаться под грузом собственного дерьма. Ты уж извини за сравнение, но поскольку пользователи часто не подозревают, что у них живет на машинах, сеть и вправду превращается в помойку
Кстати, ты не думал над тем, чтобы народ начать подключать по ADSL?