The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Подкаст с разработчиком системы обнаружения DDoS-атак FastNetMon

04.07.2017 17:14

В 58 выпуске подкаста SDCast (mp3, 72 MB, ogg, 56 MB) состоялось интервью с Павлом Одинцовым, разработчиком системы обнаружения DDoS-атак FastNetMon. В подкасте обсуждаются как теоретические вопросы о типах DDoS-атак, их целях и способах реализации, так и практические вопросы защиты и обнаружения DDoS-атак в контексте открытой системы мониторинга FastNetMon.



 
  1. Главная ссылка к новости (https://sdcast.ksdaemon.ru/201...)
  2. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  3. OpenNews: FastNetMon 1.0.0 - программа для выявления входящих/исходящих DDoS-атак
  4. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  5. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  6. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
Автор новости: KSDaemon
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46806-fastnetmon
Ключевые слова: fastnetmon, ddos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, odintsov (ok), 21:40, 04/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +5 +/
    Как обычно - отвечаю на вопросы в комментариях :)
     
     
  • 2.2, A.Stahl (ok), 22:06, 04/07/2017 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +1 +/
    Есть ссылка на листинг интервью?
     
     
  • 3.4, odintsov (ok), 22:47, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Полный листинг есть: https://sdcast.ksdaemon.ru/2017/07/sdcast-58/ Но в подкасте есть вещи не упомянутые в нем, так как это был лишь план подкаста, а не его расшифровка.
     
  • 2.3, Аноним (-), 22:08, 04/07/2017 [^] [^^] [^^^] [ответить]  [] []     [к модератору]
    		• –1 +/
    А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем только UDP, если опять не помогло блокируем TCP кроме 80/443 портов и уже потом блокируем весь трафик.
     
     
  • 3.5, odintsov (ok), 22:50, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > А почему при отсутствии возможности анализа вида трафика блокируется сразу весь трафик
    > на IP? Можно ведь поэтапно пробовать блокировать наиболее вероятные виды трафика
    > и смотреть результат. Например, вначале блокируем DNS/NTP/SSDP/SNMP, если не помогло блокируем
    > только UDP, если опять не помогло блокируем TCP кроме 80/443 портов
    > и уже потом блокируем весь трафик.

    Проблема именно в том, что возможность селективной блокировки трафика (читать "BGP Flow Spec") имеется крайне редко. Но почти любой оператор дает возможность блокировать весь трафик (BGP Blackhole).

    Кроме того, иногда возможно селективной блокировки дает оператор, как пример - RasCom.

     
     
  • 4.6, Аноним (-), 22:56, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    В своё время делал несколько ACL на Cisco с разными уровнями блокировки и включал/выключал их при необходимости по rsh. Но в этом случае центральный маршрутизатор был подконтролен, а не другого оператора.
     
     
  • 5.7, odintsov (ok), 22:58, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Это хороший кейс, его можно реализовать через notify_script, который вызывается при фиксаци атаки. У нас был один кейс, когда использовались свитчи от Extreme, чтобы реализовать отсечение трафика амплификации и как последний эшелон - блокировать UDP.
     
     
  • 6.8, Аноним (-), 23:07, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > Это хороший кейс, его можно реализовать через notify_script

    Логично, получается через notify_script можно и в DNS автоматом сменить IP атакуемого сайта на запасной.

     
     
  • 7.11, odintsov (ok), 00:38, 05/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Ага, можно и так. Либо просто переключить сайт под защиту облачного провайдера. FNM проектировался в первую очерель для защиты инфраструктуры, для сайтов облака часто лучшее решение, так как латенси некритично и протокол HTTP хорошо проксируется.
     
  • 2.9, Аноним (-), 23:11, 04/07/2017 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    А DDoS по IPv6 как блокируйте? Через BGP  его уже не заблокировать.
     
     
  • 3.10, odintsov (ok), 23:12, 04/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > А DDoS по IPv6 как блокируйте? Через BGP  его уже не
    > заблокировать.

    Почему? Заблокировать можно, но уже не по /128, а скорее по /64 либо /96. Но у нас пока поддержка IPv6 в очень ранней стадии.

     

  • 1.13, Аноним (-), 16:31, 05/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –2 +/
    Подкаст в 2017? Серьёзно?
    Ublock режет кстати запись.
     
     
  • 2.14, vantoo (ok), 22:14, 05/07/2017 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    У меня не режет. Видимо вам пора перейти с uBlock на uBlock Origin.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру