Hi! Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Jan 19, 2006 at 10:27:18PM +0200, Pavel Gulchouck wrote:
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
Мне тоже интересно, кто у себя использует уже готовые пакеты для обнаружения такого рода атак. Я планировал посмотреть в сторону panoptis ... Только пока руки не доходят. :(( -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
В сообщении от Четверг 19 января 2006 20:27 Pavel Gulchouck написал(a):
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
реакция по нетфлоу - слишком медленно средний украинский провайдер за это время окочурится -- Linux is a system with a CLUE: Command Line User Environment
On Fri, Jan 20, 2006 at 11:07:00AM +0000, Alexey Kolyada wrote:
В сообщении от Четверг 19 января 2006 20:27 Pavel Gulchouck написал(a):
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
реакция по нетфлоу - слишком медленно
А что тогда можно порекомендовать более быстрое?
средний украинский провайдер за это время окочурится
Все зависит от велечины этого DoS/DDoS. Для более крупных 1-2M действительно роли могут и не сыграть, а для мелкого и 1-2M уже убийственно. -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Alexey. You wrote at 20 сЁчня 2006 р., 13:07:00: AK> В сообщении от Четверг 19 января 2006 20:27 Pavel Gulchouck написал(a):
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
AK> реакция по нетфлоу - слишком медленно AK> средний украинский провайдер за это время окочурится Почему медленно??? Временные пределы определяются как раз не скоростью поступления данных NetFlow (раз в 30 секунд для одного интерфейса - вполне нормальная частота ИМХО), а необходимым объемом данных для определения, что данный трафик - потенциальная DDoS атака.
-- With best regards, Dmitriy Borisov Ukraine, Donetsk E-mail: borik@ints.net DNB-RIPE, DNB-UANIC, DNB-EUNIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Доброго времени суток, On Sun, Jan 22, 2006 at 08:19:18PM +0200, Вы написали ...:
On Fri, Jan 20, 2006 at 11:07:00AM +0000, Alexey Kolyada wrote:
В сообщении от Четверг 19 января 2006 20:27 Pavel Gulchouck написал(a):
Hi!
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
реакция по нетфлоу - слишком медленно
А что тогда можно порекомендовать более быстрое?
port monitor
Все зависит от велечины этого DoS/DDoS.
Для более крупных 1-2M действительно роли могут и не сыграть, а для мелкого и 1-2M уже убийственно.
Вы не теми единицами оперируете, убийственная сила DoS не в мегабитах, а в pps, если например в 72-ю с NPE-G1 влетит 400 тис. пакетов в сек. она просто очумеет и никакого нетфлоу вы не получите. -- INTR-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Jan 20, 2006 at 10:56:19AM +0200, Yury Yaroshevsky writes:
Кто что использует для детектирования DoS/DDoS атак? Посмотрел snort - это не совсем то, что хочется, потому что IDS не нужен, нужно что-то попроще и пошустрее. Достаточно, чтобы просто реагировало на повышенный pps на отдельный хост на основании данных netflow либо port monitor.
YY> Мне тоже интересно, кто у себя использует уже YY> готовые пакеты для обнаружения такого рода атак. Желающие потестировать - welcome. cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (5)
-
Alexey Kolyada -
Dmitriy Borisov -
Pavel Gulchouck -
Vladimir V. Khavronuk -
Yury Yaroshevsky