https://opennet.ru/openforum/vsluhforumID3/111664.html В 58 выпуске (https://sdcast.ksdaemon.ru/2017/07/sdcast-58/) подкаста SDCast (mp3, 72 MB (https://sdcast.ksdaemon.ru/podlove/file/257/s/download/SDCast-58.mp3), ogg, 56 MB (https://sdcast.ksdaemon.ru/podlove/file/256/s/download/SDCast-58.ogg)) состоялось интервью с Павлом Одинцовым, разработчиком системы обнаружения DDoS-атак FastNetMon. В подкасте обсуждаются как теоретические вопросы о типах DDoS-атак, их целях и способах реализации, так и практические вопросы защиты и обнаружения DDoS-атак в контексте открытой системы мониторинга FastNetMon (https://github.com/pavel-odintsov/fastnetmon).<br><br><br><br> <br><br><br><br>URL: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=46806<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#14 Wed, 05 Jul 2017 19:14:42 GMT У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#13 Wed, 05 Jul 2017 13:31:58 GMT Подкаст в 2017? Серьёзно?<br>Ublock режет кстати запись.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#11 Tue, 04 Jul 2017 21:38:35 GMT Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#10 Tue, 04 Jul 2017 20:12:14 GMT &gt; А DDoS по IPv6 как блокируйте? Через BGP его уже не <br>&gt; заблокировать.<br><br>Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии. <br> https://opennet.ru/openforum/vsluhforumID3/111664.html#9 Tue, 04 Jul 2017 20:11:14 GMT А DDoS по IPv6 как блокируйте? Через BGP его уже не заблокировать.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#8 Tue, 04 Jul 2017 20:07:45 GMT &gt; Это хороший кейс, его можно реализовать через notify_script<br><br>Логично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#7 Tue, 04 Jul 2017 19:58:47 GMT Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#6 Tue, 04 Jul 2017 19:56:32 GMT В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.<br> https://opennet.ru/openforum/vsluhforumID3/111664.html#5 Tue, 04 Jul 2017 19:50:46 GMT &gt; А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик <br>&gt; на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика <br>&gt; и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем <br>&gt; только UDP, если опять не помогло блокируем TCP кроме 80/443 портов <br>&gt; и уже потом блокируем весь трафик.<br><br>Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).<br><br>Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.<br>