The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Подкаст с разработчиком системы обнаружения DDoS-атак FastNetMon

04.07.2017 17:14

В 58 выпуске подкаста SDCast (mp3, 72 MB, ogg, 56 MB) состоялось интервью с Павлом Одинцовым, разработчиком системы обнаружения DDoS-атак FastNetMon. В подкасте обсуждаются как теоретические вопросы о типах DDoS-атак, их целях и способах реализации, так и практические вопросы защиты и обнаружения DDoS-атак в контексте открытой системы мониторинга FastNetMon.



  1. Главная ссылка к новости (https://sdcast.ksdaemon.ru/201...)
  2. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  3. OpenNews: FastNetMon 1.0.0 - программа для выявления входящих/исходящих DDoS-атак
  4. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  5. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  6. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
Автор новости: KSDaemon
Тип: К сведению
Ключевые слова: fastnetmon, ddos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (13) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, odintsov (ok), 21:40, 04/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Как обычно - отвечаю на вопросы в комментариях :)
     
     
  • 2.2, A.Stahl (ok), 22:06, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть ссылка на листинг интервью?
     
     
  • 3.4, odintsov (ok), 22:47, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Полный листинг есть: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/ Но в подкасте есть вещи не упомянутые в нем, так как это был лишь план подкаста, а не его расшифровка.
     
  • 2.3, Аноним (-), 22:08, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем только UDP, если опять не помогло блокируем TCP кроме 80/443 портов и уже потом блокируем весь трафик.
     
     
  • 3.5, odintsov (ok), 22:50, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик
    > на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика
    > и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем
    > только UDP, если опять не помогло блокируем TCP кроме 80/443 портов
    > и уже потом блокируем весь трафик.

    Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).

    Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.

     
     
  • 4.6, Аноним (-), 22:56, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.
     
     
  • 5.7, odintsov (ok), 22:58, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.
     
     
  • 6.8, Аноним (-), 23:07, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это хороший кейс, его можно реализовать через notify_script

    Логично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.

     
     
  • 7.11, odintsov (ok), 00:38, 05/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.
     
  • 2.9, Аноним (-), 23:11, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А DDoS по IPv6 как блокируйте? Через BGP  его уже не заблокировать.
     
     
  • 3.10, odintsov (ok), 23:12, 04/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А DDoS по IPv6 как блокируйте? Через BGP  его уже не
    > заблокировать.

    Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии.

     

  • 1.13, Аноним (-), 16:31, 05/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Подкаст в 2017? Серьёзно?
    Ublock режет кстати запись.
     
     
  • 2.14, vantoo (ok), 22:14, 05/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру