[SpaceDump]

Mja, vad PRQ menar med strypa global traifk är att helt enkelt sluta annonsera prefixet globalt.

Då kommer det inte finnas någon route till IP-numret för de som går globalt medans de som sitter inom sverige (nåja, alla fås inte med här, men en stor del i alla fall) kan surfa till sidan.

//Anders

[PRQ]

Citat:

Originally posted by zoran@Mar 12 2006, 14:20
Jo visst, det är någon lösning som _kan_ funka om man har tur. Är det frågan om DDOS attack, så kommer även din "stryppunkt" vara utsatt för regn av paket, som den måste analysera för att kunna släppa förbi eller droppa (beroende på ip-adress). Även om den analysen, inte är så resurskrävande kanske, så går det nog i taket vid en riktig DDOS.

Kort svar: Nej
Längre svar: Blackholecommunity, manuell blackhole, eller sluta annonsera prefixet.
Att matcha mot blackholerouten tar inte mer kraft än vilken annan routinguppslagning som helst, så det går utmärkt att slänga stora mängder trafik den vägen (särskilt om det görs redan vid transitleverantörernas edge).
Jag har personligen använt den metoden vid attacker på i alla fall ett par Gbps.

[patrikweb]

Blackhole fungerar utmärkt ja, och gör att trafiken droppas till Null på transitleverantörens edge router. Leverantören brukar även använda uRPF och gör att det inte belastar cpu mycket alls.

Men detta löser igentligen bara för skydda resten av kunderna i nätet, och skyddar inte den som blir attackerad utan blir samma effekt som ddos:en att servern inte kommer åt från nätet. Även om man blockerar just från GT så blir det säkerligen en del besökare som drabbas.

[PRQ]

Bandbreddsätande zombie-DDoS-attacker tenderar som tur är att vara ganska korta, eftersom det är svårt att upprätthålla en sådan attack särskilt länge (folk undrar varför deras uppkoppling går så långsamt, osv). Under den tiden är en blackhole ofta fullt tolererbar om den riktas rätt.

[magic]

Citat:

Originally posted by zoran@Mar 12 2006, 10:46

Alla som påstår sig ha skydd mot ddos-attacker talar om hur inkompetenta de är.

Ända skyddet mot DDoS är att ha mer bandbredd än de som attackerar och filtrera bort det, attacken skadar fortfarande nätverket och kostar fortfarande pengar, det är inte värt pengarna att ha en server 100% säker mot DDoS. Efter att ha haft ett IRC shell företag i några år och testat flera olika leverantörer så är det bara ett ända företag som lyckats hålla mina servrar online trots DDoS mot dem, inga servrar gick någonsin totalt ner eller crashade pga av attackerna hos foonet/CIT (numera gigeservers.com)
Jag vet dock inte om jag skulle vilja använda det företaget igen efter att förra ägaren var inblandad i DDoS attacker själv och FBI knackade på hans dörr.. det hände dock efter att jag stängt ner mina shell servrar pga tidsbrist.