[patrikweb]

Just en anledning varför man inte ska köra vanliga brandväggar, för dom klarar inte av så många PPS. Åt andra sidan är 100.000 paket inte alls mycket, normalt brukar man få upp till MILJONER PPS.

Men i vilket fall så skulle denna typen av attack kunnat lösas på 5min utan problem om man har kunskap och lite vettiga saker.

1) Blockera målet till attacken helt
2) QoS och ratelimit antal SYN paket till en fungerande nivå
3) Om varje paket hade samma dst port eller src port kunde man skapat en ACL för matcha på det.
4) Om det var flertal paket från samma src IP kunde man satt en microflow policy för limit antal SYN per IP.
5) Analyserat paketen i raw format för se om dom följer ett mönster, i ipoptions eller TTL värde. Om dom genererades ifrån samma burk eller samma botnät "mjukvara" så är risken rätt stor att allt är samma. Så skulle man kunnat sätta ett L7 filter för matcha på den TTL. Om det skulle vara ett mindre vanligt TTL värde så skulle det inte stört legetim trafik till det IP.
6) Möjligen blockera från det hållen trafiken kommer ifrån bara.

Samt 100.000 PPS är ju inget i trafik mängd ens, om vi räknat ett SYN paket är 62 byte med ethernetramen.

Vilket borde motsvara 45-60Mbit, orkade inte räkna helt exakt. Alltså ingen trafik att prata om alls.

Att det ska ta 45min att ens fatta det är en DDoS är ju bara komiskt.

För mig är det fortfarande ett dåligt skämt hos dom.