Pokaż wyniki 1 do 8 z 8

Temat: Wykrywanie ataków DoS DDoS Botnet

  1. #1
    Zarejestrowany
    May 2012
    Postów
    3

    Domyślnie Wykrywanie ataków DoS DDoS Botnet

    Witam, jak sam tytuł wskazuje, poszukuję software(może być płatny), który pozwoli mi wykryć ataki na sieć. Głowa mi pęka od czytania wszelakich ogólnikowych artykułów, odnośnie zapobiegania czy też wykrywania takowych ataków (hardware firewall, honeypot etc) Po spędzeniu kilku godzin na czytaniu takowych dokumentów, stwierdzam iż nie wniosły one nic nowego, a tylko wprowadziły zamęt

    Ataki będą kierowane na serwer dedykowany z hostingu OVH(windows) o łączu 1 lub 10gbps, jeszcze do końca nie zdecydowałem. Ataków spodziewam się na pewno, gdyż będzie to serwer jednej z gier mmorpg,a jak wiadomo w takim środowisku nie brakuje iNet gangsterów

    Tak więc konkludując, poszukuję software/rozwiązań, które pozwolą mi śledzić ataki, najlepiej z możliwością generowania logów ruchu sieciowego.

    P.S Jakoś 2 lata temu próbowałem failover'a jak również CISCO firewall, niestety oba te "tricki" nie przyniosły żadnych rezultatów, gdyż ataki szły bezpośrednio na ip a firewall był nimi totalnie zapchany, dlatego teraz chciałem zbierać wszelkie informacje na temat ataków, następnie przesyłane one będą do OVH, które całkowicie odetnie dostęp wybranym IP.
    Ostatnio edytowane przez DoSTrace : 05-06-2012 - 22:32

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli hosting masz na OVH to daj sobie spokoj i wykup u nich usluge obrony przed atakami DDoS - maja do tego specjalny sprzet i nie bedzie to juz Twoim problemem. Sam wiele nie zdzialasz a przesylanie logow do OVH aby wycieli ruch tylko skoplikuje sprawe. Poza tym, jak serwer oberwie DDoS'em to jak chcesz z niego wydobyc logi?! Gwarantuje Ci ze nie dasz rady

    Skoro OVH wytrzymalo DDoS na dedyka Wikileaks ktory hostowali, to z MMORPG tez dadza rade.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    May 2012
    Postów
    3

    Domyślnie

    Cytat Napisał TQM Zobacz post
    Jesli hosting masz na OVH to daj sobie spokoj i wykup u nich usluge obrony przed atakami DDoS - maja do tego specjalny sprzet i nie bedzie to juz Twoim problemem. Sam wiele nie zdzialasz a przesylanie logow do OVH aby wycieli ruch tylko skoplikuje sprawe. Poza tym, jak serwer oberwie DDoS'em to jak chcesz z niego wydobyc logi?! Gwarantuje Ci ze nie dasz rady

    Skoro OVH wytrzymalo DDoS na dedyka Wikileaks ktory hostowali, to z MMORPG tez dadza rade.

    Sam dedyk koszt około 1tyś zł + "specjalny sprzęt" jakos 700zł, ostatnim razem jak chciałem żeby pomogli podczas ataku to rozłożyli ręce i jedyne co mogli zrobić to odciąć IP, które nie wiem jak miałem im przesłać skoro tak jak powiedziane zostało wyżej ledwo miałem dostęp do maszyny + nie miałem jak wyciągnąć logów. Samo kupno serwera 10gbps to potężne koszta, a nawet taka moc łącza nie gwarantuje, że serwer wytrzyma. Nie mam zamiaru płacić za ich bezużyteczny CISCO firewall, bo jest to kosmicznie droga rzecz. Czyli tak jak widzę, jest to temat rzeka, nie da się nic zrobić, można złagodzić/przeczekać albo dać sobie spokój

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie znam budowy sieci OVH, ale jestepm pewien ze to nie jest Cisco, raczej sklanialbym sie do jakiegos SRX'a albo StealthWatch'a...

    Kupienie lacza 1Gbps nic nie da bo i tak OS nie wytrzyma (albo serwer gry). Ile pps wytrzyma serwer? Ile nowych polaczen i w jakim czasie? Jaki jest punkt saturacji i jakie jest zachowanie serwera gdy sie do niego zblizysz?

    To jest Twoj glowny limit, nie predkosc lacza.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jan 2012
    Postów
    4

    Domyślnie

    Dedykowane rooty na ovh są bardzo dobre , ale uslugi na ovh (np firewall cisco) niby chroni przed ddosami itp . Może w jakims stopniu i chroni , ale jak np. Ktoś ma botneta i naraz np 1500 Adresów ip uderzy w root to nawet nawet on nic nie pomoże. Radził bym wynająć jakiegoś informatyka który zna sie na zabezpieczeniach , lub ewentualnie sprobój działac na własną ręke.

    Masz tutaj stronke i możesz u nich wykupić ochrone przed ddos. To powinno ochronić cię przed atakami

    FortGuard - Professional Anti-DDoS Firewall. Protect your servers from DDoS attack.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Zaden software na typowym procesorze nie dorowna sprzetowemu rozwiazaniu jak to jest robione w solidnym sprzecie... DDoS trzeba filtrowac juz na poziomie sieci, zanim dosiegnie hosta. Host ma obslugiwac aplikacje (tutaj gre) a nie filtrowac DDoS bo co za roznica czy zapcham Ci lacze, czy zatkam CPU ktory zamiast obslugiwac aplikacje bedzie filtrowal pakiety?!

    Mowie serio - zle i nieskuteczne podejscie.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    May 2012
    Postów
    3

    Domyślnie

    Pliki serwerowe gry działają bez najmniejszych problemów nawet na łączu 10gbps, co do pozostałych parametrów to nie mam pojęcia ^^ W każdym razie nie będę rozwijał tematu, bo nic z tego nie wyniknie. Postaram się nadal na własną rękę czegoś szukać, albo pomęczę ovh i wypytam jakby wyglądała ich reakcja w razie ataku, bo może akurat przez te 2 lata coś się tam zmieniło

    W każdym razie dzięki za chęci ;d

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ok...

    Wyjasnie tylko dlaczego wg mnie powinienes isc w ochrone na poziomie sieci a nie na serwerze.

    Procesor wielofunkcyjny taki jak zwyczajny procek spotykany w serwerach jest swietny w szerokim zakresie zastosowan ale jesli mowimy o czyms specjalizowanym tak jak filtracja ruchu IP, to o wiele wydajniejsze sa specjalizowane uklady (ASIC - application-specific integrated circuit) spotykane w firewallach i routerach z wyzszych polek. Sztuka polega tylko na tym, ze nowe firewall'e sa robione juz w oparciu o platformy intel'a i podobne, odchodzi sie od ASIC'ow w tych nowych, tanszych modelach.

    Jako przyklad masz sprzet Juniper'a - seria NetScreen i SSG. NetScreen oparty jest na ukladach ASIC ale nie jest juz tak elastyczny jak SSG. SSG maja pewne funkcje ktorych nie znajdziesz w NetScreen'ach... bo funkcje w SSG to po prostu dodatkowy software - SSG bazuje na zwyklym CPU. Porownujac firewall'e trzeba porownywac ronwego z rownym... wiec nie mozna porownac np StealtWatch'a, Sidewinder'a czy rouera z gornej polki z Cisco ASA (na przyklad popularny 5505). Wiele takich firewall'i nie-ASIC'owych to przerobione BSD. Cisco PIX ma w srodku procek PIII a Checkpoint'y przynajmniej te krore ja mialem to po prostu BSD (do tego stopnia ze w srodku masz dysk laptopowy 2.5").

    Jesli teraz dopuscisz ruch do serwera, to i ile doskonale radzi on sobie z ruchem gry - takim ktory jest poprawny, to wieksza ramka ethernet na laczu 1gbps i wyzej oraz ilosc pakietow spowoduje zatkanie lacza. Dodatkowo, kazdy pakiet jest przetwarzany przez CPU. Dodatkowo dochodza ograniczenia stosu TCP/IP w systemie opercyjnym, itp itd... lista argumentow jest dluga.

    Pytanie - czy mozesz sobie pozwolic finansowo na tak solidna ochrone czy tez budzet na to nie pozwoli i bedziesz zmuszony kombinowac w oprogramowaniu? Dobra ochrona to inwestycja ktora sie zwroci... pytanie nie jest czy sie zwroci, pytanie jest 'kiedy'

    To co pisze powyzej to wnioski z paru lat pracy w kasynach internetowych gdzie odpowiadalem za bezpieczenstwo. Ataki DDoS to cos normalnego, dobra ochrona to podstawa... a wszystko rozbija sie o kase.

    Powodzenia!
    Ostatnio edytowane przez TQM : 05-07-2012 - 14:12
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj