Hi! On Mon, Oct 15, 2007 at 12:17:37PM +0400, Alexandre Snarskii writes: AS> Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят.. AS> Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. AS> Отфильтровано на кошке. AS> Второй вектор - в принципе, то же самое, только dst - транзитные AS> маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая AS> начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. control plane кошку не спасает? Просто по cpu load прогибается, или симптомы другие? Если дело не в cpu load, то обычные acl, насколько я понимаю, должны защищать от срубания сессий левыми пакетами. AS> Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера AS> с подстановкой адреса клиента... Отфильтровали на кошке... AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера.. Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message