+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

100% загрузка процессора.

100% загрузка процессора., RouterOS

binary

Guest

12.10.2006 08:28:00

У нас на одном из серверов идут SYN flood атаки. Вижу 80.000 пакетов в секунду на входящем интерфейсе, а загрузка процессора зашкаливает до 100%. Это нормально? Что можно сделать на Mikrotik, чтобы справиться с этим? Сервер P4 3.2 Ghz, 512 Ram.

normis Guest	#2 0 12.10.2006 08:52:00 Если сообщение приходит с конкретного адреса, используй правила брандмауэра против него. Действие `action=tarpit` должно убрать этого парня.

binary Guest	#3 0 12.10.2006 09:42:00 Эх, мечтаю, чтобы все атаки шли с одного IP-адреса. Попробую tarpit, но особо не надеюсь.

ipdruide

Guest

12.10.2006 09:56:00

Вы тоже можете использовать списки адресов и "tarpit". Я использую их довольно интенсивно, и в целом доволен постоянно растущим черным списком, составленным из различных злоумышленников. Другими словами, вы можете добавлять IP-адреса в черный список, когда происходит атака, и использовать этот черный список для "tarpitting" атакующих.

binary Guest	#5 0 12.10.2006 09:57:00 Я уже это делаю, но проблема на процессоре. Принимаю 80 000 пакетов в секунду.

normis

Guest

12.10.2006 10:05:00

К сожалению, идеального решения этой проблемы не существует. Большинство провайдеров от времени к времени сталкиваются с DDoS-атаками. Можно обратиться к своему интернет-провайдеру, чтобы попытаться решить эту проблему, или просто надеяться, что всё прекратится. В основном, даже самый мощный CPU не поможет, так как атаки идут из множества источников одновременно, а у атакующего есть возможность усилить атаку при необходимости.

binary

Guest

12.10.2006 10:39:00

Как Google и Microsoft могут с этим разобраться? Они же построили тысячи серверных ферм для своих сайтов? Эта DDoS-атака срывает всю работу. Люди должны найти решение. Это уже интернет-терроризм. Я пробовал несколько устройств, таких как Tipping Point, Netscaler, но они не решают проблему на 100%.

normis

Guest

12.10.2006 11:06:00

Ну а что вы думали? Google же имеет серверные фермы. Адреса: 64.233.183.103, 64.233.183.104, 64.233.183.147, 64.233.183.99. Алиасы: > http://www.google.com. И это только то, что видно снаружи. У больших серверов есть серверные сети с множеством гигабитных соединений, куча резервных каналов связи и просто огромная вычислительная мощность. Вы думали, что Google сидит на каком-нибудь одном сером системнике, правда?

ipdruide Guest	#9 0 12.10.2006 12:54:00 Кстати, 80000 п/с говорит о том, что у тебя огромная пропускная способность. Что это за канал? Может, РоутерБоард не подойдет. И может, эти 80000 п/с — не весь DDoS-трафик?

binary Guest	#10 0 12.10.2006 13:38:00 Конечно, я не думал, что Google работает на P4. Просто хотел узнать, что, имея огромные серверы, решение против DDoS – это только полоса пропускания. Кстати, 80 000 пакетов в секунду – это примерно 50 Мбит/с.

changeip

Guest

#11

12.10.2006 14:15:00

Потеря пакетов идёт намного медленнее, чем их маршрутизация (не знаю почему), есть ли способ null-маршрутизировать их на mt? Можно ли это сделать с помощью типа маршрутизации `routing type=blackhole`? DDoS - это отстой. Пропускная способность - первое препятствие в борьбе с ними, потом нужно разработать действительно хорошие методы, чтобы иметь возможность получить доступ к твоему серверу, пока всё это происходит, чтобы ты мог его настроить. Кстати, если используешь LOG, то тебе конец – ты просто утонешь в логах без каких-либо усилий, поменяй правила логирования на 5p/s, чтобы не перегружать процессор. Sam

ipdruide Guest	#12 0 12.10.2006 15:59:00 Сэм, где вообще можно изменить это правило логирования? Не могу разобраться. Спасибо.

changeip Guest	#13 0 12.10.2006 16:08:00 Вот пример, использует limit= add chain=ICMP protocol=icmp limit=1,2 action=log log-prefix=“” comment=“log it” disabled=no Sam

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры