в общем решили отбиваться - потеряем рейтинги, посему все же опять прошу рекомендаций. 2015-07-16 14:30 GMT+03:00 Oles Girniak :

IMHO, Жертвувати тим 1% (що неUA), і нічого не робити. от коли той 1% втрат буде більше 1k$ на місяць, то вже буде бюджет щоб починати щось робити.

On 16.07.2015 14:17, Vasiliy P. Melnik wrote:

...

Hi all

Порекомендуйте кого-нибудь отбиться от ddos-а , сейчас на порту 6 гигабит udp флуда, отрубили мир - трафик упал, живем, но работа то стоит. Аудитория на 99% Украина

это UDP ответы от днс серверов на разные порты , типа такого 15:47:41.197552 IP 62.149.26.132 > 195.234.214.18: ICMP 62.149.26.132 udp port 47536 unreachable, length 556 15:47:41.199138 IP 178.218.78.12.domain > 62.149.26.132.58504: 50096| 22/0/0 Type46[|domain] 15:47:41.199140 IP 178.218.78.12 > 62.149.26.132: udp 15:47:41.199288 IP 178.218.78.12 > 62.149.26.132: udp 15:47:41.199537 IP 78.111.17.253.domain > 62.149.26.132.18823: 64879| 22/0/0 Type48[|domain] 15:47:41.199636 IP 78.111.17.253 > 62.149.26.132: udp 15:47:41.199637 IP 79.140.1.42 > 62.149.26.132: udp 15:47:41.199638 IP 79.140.1.42.domain > 62.149.26.132.52094: 50096| 22/0/0 Type46[|domain] 15:47:41.199638 IP 79.140.1.42 > 62.149.26.132: udp 15:47:41.199736 IP 78.111.17.253 > 62.149.26.132: udp 15:47:41.200834 IP 93.76.46.90.domain > 62.149.26.132.16175: 50096| 22/0/0 Type48[|domain] 15:47:41.200836 IP 195.138.72.26.domain > 62.149.26.132.64910: 50096| 22/0/0 Type48[|domain] 15:47:41.200837 IP 195.138.72.26 > 62.149.26.132: udp 15:47:41.200838 IP 195.138.72.26 > 62.149.26.132: udp 15:47:41.200848 IP 62.149.26.132 > 195.138.72.26: ICMP 62.149.26.132 udp port 64910 unreachable, length 556 15:47:41.200850 IP 176.32.189.58.domain > 62.149.26.132.24310: 50096| 22/0/0 Type46[|domain] 15:47:41.200933 IP 93.76.46.90 > 62.149.26.132: udp 15:47:41.200993 IP 176.32.189.58 > 62.149.26.132: udp 15:47:41.200994 IP 93.76.46.90 > 62.149.26.132: udp 15:47:41.201036 IP 176.32.189.58 > 62.149.26.132: udp 15:47:41.201782 IP 192.162.237.35.domain > 62.149.26.132.5391: 1686| 22/0/0 A 63.74.109.2, TXT[|domain] 15:47:41.201785 IP 192.162.237.35 > 62.149.26.132: udp 15:47:41.201785 IP 192.162.237.35 > 62.149.26.132: udp 16 июля 2015 г., 14:42 пользователь Гришин Артем Сергеевич < griarts@gmail.com> написал:

Здравствуйте, Vasiliy.

А снять дамп этого флуда, и точечно зафильтровать его на порту аплинка, а если аплинк пойдет на встречу, то даже у самого аплинка?

Большинство ДДОСа довольно тупое. К примеру это может быть UDP трафик на/с NTP порт/а, или UDP трафик на 80 порт, который можно практически смело блокировать.

Вы писали 16 июля 2015 г., 14:39:56:

в общем решили отбиваться - потеряем рейтинги, посему все же опять прошу рекомендаций.

2015-07-16 14:30 GMT+03:00 Oles Girniak : IMHO, Жертвувати тим 1% (що неUA), і нічого не робити. от коли той 1% втрат буде більше 1k$ на місяць, то вже буде бюджет щоб починати щось робити.

On 16.07.2015 14:17, Vasiliy P. Melnik wrote: Hi all

Порекомендуйте кого-нибудь отбиться от ddos-а , сейчас на порту 6 гигабит udp флуда, отрубили мир - трафик упал, живем, но работа то стоит. Аудитория на 99% Украина

*-- С уважением, Гришин Артем Сергеевич Технический директор ООО "Медиа Линк Украина" 050 484 93 93 * mailto:griarts@gmail.com

як uplink, я б відмовився таке робити для свого клієнта, бо: 1. роутер, не firewall, і фільтр на трафіку може раком поставити сам роутер, бо роутер не під таку задачу "заточений" 2. а хто буде за 6G трафіка платити, які валяться на uplinkа, а до клієнта не пропускаються і він за них платити не збирається? (особливо якщо правило 95% по часу проїдуть) Додаткових 6G від Tier1 це так ~5000 євро. On 16.07.2015 15:08, Vladimir Sharun wrote:

Привет :)

У аплинка попроси поставить на твой порт исходящий фильтр по паттерну ддоса.

--- Оригінальне повідомлення --- Від кого: "Vasiliy P. Melnik" Дата: 16 липня 2015, 14:17:58

Hi all

Порекомендуйте кого-нибудь отбиться от ddos-а , сейчас на порту 6 гигабит udp флуда, отрубили мир - трафик упал, живем, но работа то стоит. Аудитория на 99% Украина

!

Подскажите - а кто счас рулевой на секондари.нет.уа? Домены там секондарятся, надо прибить их оттуда, а паролей нет - восстановить не могу, почта лежит. 16 июля 2015 г., 21:14 пользователь Vladimir Sharun

написал:

Всем привет :)

Клиенты подавляюще редко включаются в роутеры, как правило в аггрегаторы-свичи, у которых файрвол на порту делается асиком.

Как клиент, я бы послал такого аплинка и выбрал более сговорчивого (собственно так он и выбирался).

Лояльность клиента и последующий хайп "они мне помогли запростотак" стоит существенно дороже, чем 10-20Гбит и так халявных стыков.

16 липня 2015, 16:24:48, від "Oles Girniak" :

як uplink, я б відмовився таке робити для свого клієнта, бо: 1. роутер, не firewall, і фільтр на трафіку може раком поставити сам роутер, бо роутер не під таку задачу "заточений" 2. а хто буде за 6G трафіка платити, які валяться на uplinkа, а до клієнта не пропускаються і він за них платити не збирається? (особливо якщо правило 95% по часу проїдуть) Додаткових 6G від Tier1 це так ~5000 євро.

On 16.07.2015 15:08, Vladimir Sharun wrote:

Привет :)

У аплинка попроси поставить на твой порт исходящий фильтр по паттерну ддоса.

--- Оригінальне повідомлення --- Від кого: "Vasiliy P. Melnik" Дата: 16 липня 2015, 14:17:58

Hi all

Порекомендуйте кого-нибудь отбиться от ddos-а , сейчас на порту 6 гигабит udp флуда, отрубили мир - трафик упал, живем, но работа то стоит. Аудитория на 99% Украина

!

17 июля 2015 г., 10:57 пользователь Igor Levchuk написал:

hostmaster@secondary.net.ua

Всем спасибо за идею - мне прислали уже пароли. Там ссылка на мыло - я думал просто не рабочая страница, а там оказался линк на мыло.

16 июля 2015 г., 16:29 пользователь Sergey Smitienko написал:

Добрый день.

Отрежите UDP flood, начнут валить syn на tcp/80, или application level атаку устроят.

я ж написал - это был не UDP флуд, а ответы от днс-ов, а так понимаю там плечо 10-15. Ну было 2 гигабита - думаю с этим как-то можно было справиться

Тут надо умнее действовать.

...

Привет :) У аплинка попроси поставить на твой порт исходящий фильтр по паттерну ддоса.

Hi all Порекомендуйте кого-нибудь отбиться от ddos-а , сейчас на порту 6 гигабит udp флуда, отрубили мир - трафик упал, живем, но работа то стоит. Аудитория на 99% Украина

-- Sergey Smitienko

именно так и планируем завтра - может закончится у заказавшего абонплата. Явно не 100 долларов стоило сие мероприятие 16 июля 2015 г., 17:42 пользователь Sergey Smitienko написал:

7/16/15 4:42 PM, Vasiliy P. Melnik пишет:

...

...

Добрый день.

Отрежите UDP flood, начнут валить syn на tcp/80, или application level атаку устроят.

я ж написал - это был не UDP флуд, а ответы от днс-ов, а так понимаю там плечо 10-15. Ну было 2 гигабита - думаю с этим как-то можно было справиться

DNS amp это подвид UDP flood, старая атака, блокируется легко, надо пропустить udp трафик от своих dns серверов и отрезать все остальное с udp srcport = 53.

-- Sergey Smitienko