Доброго времени суток, On Sun, Jan 22, 2006 at 08:19:18PM +0200, Вы написали ...:
On Fri, Jan 20, 2006 at 11:07:00AM +0000, Alexey Kolyada wrote:
В сообщении от Четверг 19 января 2006 20:27 Pavel Gulchouck написал(a):
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
реакция по нетфлоу - слишком медленно
А что тогда можно порекомендовать более быстрое?
port monitor
Все зависит от велечины этого DoS/DDoS.
Для более крупных 1-2M действительно роли могут и не сыграть, а для мелкого и 1-2M уже убийственно.
Вы не теми единицами оперируете, убийственная сила DoS не в мегабитах, а в pps, если например в 72-ю с NPE-G1 влетит 400 тис. пакетов в сек. она просто очумеет и никакого нетфлоу вы не получите. -- INTR-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message