The Prodigy

Тяжелые будни ethernet-провайдинга, или Убить за 100 мегабит-секунд

Есть такая особенность в Ethernet-провайдинге - клиенты имеют доступ к серверам на скорости 100 мегабит в секунду. Если про это забывать, можно сталкиваться постоянно с различными нехорошими моментами.

Самое страшное в нашей истории было - это SYN-flood роутера, который выполняли одновременно куча вирусов на клиентских машинах в разных подсетях. Получалась такая распределенная атака на полной скорости. Было время - хотели использовать одну L3-”железяку” в центе сети, чтоб маршрутизировала. Но она оказалась от SYN-флуда абсолютно не защищена. Пришлось отказаться.

А сейчас всплыло другое. Некоторые клиентские машины выступают “участниками” распределенной D.O.S. атаки на некоторые сайты через DNS-запросы.  Конкретно сейчас была атака на ultracomp.ru. Начали разбираться насколько у нас противоударный ДНС-сервер. Нашел вот полезную утилитку - dns server DOS test utility. Даже с ограничением в 1000 пакетов (после запуска утилитки) вижу как нагрузка на проц зашкаливает, если “выпулить” все запросы залпом. Пока не ясно как с этим бороться. Когда куча запросов с одно ИП - есть сбособы, но если в дело вступает спуффинг, то труба будет. Одно ясно - нужно сеть все больше и больше сегментировать.

При чтении информации по конфигурированию bind появились новые вопросы, которые теперь сидят в голове. Стоит ли держать два отдельных named-а, где один для внутренней сети, а второй - для внешней, как сейчас, или настроить все на одном через “view” (Split DNS-конфигурация)… Пока склоняюсь ко второму варианту.



Октябрь 10th 2007 in Безопасность

Комментариев: 5 к записи “Тяжелые будни ethernet-провайдинга, или Убить за 100 мегабит-секунд”

  1. Anton сказал 10 Окт 2007 at 19:00 #

    1. фаерволом выставить n запросов/сек от одного юзера + m запросов/сек к серверу всего;
    2. ограничить полосу к bind-у шейпером (на другом сервере, перед bind-ом);
    3. анализировать скриптом активность юзеров и подозрительных на всякий случай отключать/ограничивать с уведомлением админу.
    4. есть более легковесные ns-демоны, попробуй их.

    ИМХО, N3+N4.

  2. Павел Медников сказал 12 Окт 2007 at 23:28 #

    А как у тебя доступ клиента к роутеру осуществляется? Одно время у нас все малые домовые сети страдали от той же проблемы, что и тебя, а потом взяли на вооружение следующий рецепт:
    Доступ к основному роутеру осуществляется через промежуточную железяку, к которой пользователи подключаются при помощи, например, PPTP или L2TP. Пока соединение не установлено, есть только доступ к локальным ресурсам, доступность которых не так критична. Как только поднимается туннель, пользователю автоматически присваиваются нужные настройки при помощи DHCP, и становится доступен основной шлюз, DNS-серверы и интернет.
    В итоге спуффинг уже не страшен, а выявить и обрубить проблемное PPTP-соединение - дело техники. Да и биллинговать такой способ доступа проще.
    Способ, конечно, не из дешевых, но зато прекрасно зарекомендовал себя в крупных городских сетях. Прикинь, может пригодится “на вырост”.

  3. сказал 13 Окт 2007 at 01:25 #

    А крупная сеть - это от скольки пользователей? У нас примерно 1300.

  4. Павел Медников сказал 17 Окт 2007 at 00:47 #

    Ну, под крупными я имел в виду сети типа Корбины, Центела итп - это очень крупные игроки на московском рынке. Они последнее время активно скупают малые районные сети, перепродающие их же трафик, и объединяют их в единое целое.
    Все-таки, 1300 почти неуправляемых пользователей - это уже немало. Пора их в какие-то рамки загонять, пока сеть не начала задыхаться под грузом собственного дерьма. Ты уж извини за сравнение, но поскольку пользователи часто не подозревают, что у них живет на машинах, сеть и вправду превращается в помойку :-( Не только твоя - любая…
    Кстати, ты не думал над тем, чтобы народ начать подключать по ADSL?

  5. DANIL сказал 23 Дек 2008 at 16:06 #

    Везет вам с нетом мы платим деньги за тариф 500 кбит/с которые вы платите за тариф 100 мбит/с а про сервер вооще молчу(( доступ минимальный… какие тут атаки…

Тяжелые будни ethernet-провайдинга, или Убить за 100 мегабит-секунд






   Случайные записи: поисковая оптимизация WordPress
Другие посты блога: Жить осталось еще на год меньше,     Фильм Я - легенда -I Am Legend - скачать (рецензия, описание, отзывы),     Фильм Гастролер (Gastroler, 2007) -рецензия, комментарии,     Фото запорожья,     А вы смеетесь, когда перечитываете свои старые записи?,     DNS hijacking, spoofing, injection, poisoning - атаки на ДНС (шторм ложных ответов),     Дизайн квартиры: комнаты, кухня, спальня, ванная комната (фото),