On Wed, May 18, 2005 at 02:22:03PM +0300, Volodymyr Yakovenko wrote:
On Wed, May 18, 2005 at 02:08:25PM +0300, Oleg V. Nauman wrote: [..skipped..]
Вызывает у меня сомнения, что любой статистический анализатор трафика в случае грамотно организованной DDoS поможет хоть чем нибудь кроме дропа именно тех connects, которые так нужны. На мой непросвещенный взгляд единственный эффективный способ борьбы с DDoS - shutdown сервиса и скорейший перенос его в более иное место. Другой вопрос - приемлемо ли это по тем или иным причинам.
или кооперация с другими операторами (в идеале - со всеми в мире) для обнаружения и фильтрации зомбированных компьютеров.
Мы же не верим в сказки и живем в реальном мире - правда?
Идея кооперации в области DDOS mitigation не так уж и мифична, во всяком случае среди Европейских и Штатовских операторов. У них есть для того специальные mail-листы/im-ы/voip-сети.
И если полагаться только на себя - то решение может быть только одним, мне кажется - вынос сервиса вбок.
Это не всегда просто реализуемо, Cisco Guard (в девичестве Riverhead Guard) как раз для того и позиционируется, чтоб менять IP у атакуемого ресурса.
А для DNS сервера это в любом случае тяжко... Очень уж специфичный сервис
-- Regards, Volodymyr.
-- NO37-RIPE