Шлюз с защитой от DoS

Question

[Алексей Кузьмин]

Доброго времени суток.
Имеет место быть небольшой некоммерческий проект, основная вычислительная мощность которого «хостится» на квартире(4 сервера уровня proliant G3 на зеонах и два самосбора на современных десктопных ЦП). С недавнего времени один из «обиженных» начал DoS(пока, возможно далее будет DDoS) атаку SYN флудом и текущий роутер с этой нагрузкой не справляется — загрузка ЦП 100% пинги в интернет неутойчивые и длинные. Роутер D-Link DIR 620. Интернет l2tp 100Мбит.
Нашли в закромах еще один сервер, правда не HP а Kraftway с P4 3ГГц и 4Гб ОЗУ, с двумя сетевыми интерфейсами.
Задача — сделать из крафтвея роутер который будет раздавать интернеты в сервера и человекам отбиваясь от DoS(DDoS), крайне желательно иметь веб-интерфейс(или клиентское ПО) в котором будет видно больше чем mrtg, например распределение трафика по серверам, правила маршрутизации.
Вопрос — какая ОС и ПО наилучшим образом подойдут для решения вышеуказанных задач.

З.Ы. Mikrotik RouterOS попробовали — очень оригинально приходится организовывать работы с l2tp билайна(динамический адрес впн-сервера не поддерживается — пришлось городить скрипты) и в ненастроенном варианте система зависает наглухо — доже на Numlock не реагирует — немного пугает надежность такой системы.

Answer 1

[lubezniy]

ИМХО единственный кошерный вариант — перевод серверов в дата-центр (по меньшей мере, перевести туда доступные извне узлы) и обеспечение защиты от DDoS силами провайдера дата-центра или специализированной конторы. Помимо роутера, есть ещё оборудование у провайдера, которому вряд ли понравится DDoS на его канал (могут начаться ограничения).

Comments

[Алексей Кузьмин]

ДЦ — дорого, там только веб-сайт лежит. Провайдеру звонили и писали, говорили по ДоС, с указанием адреса атакуещего(он тоже в сети провайдера) — а в ответ стандартное «перезагрузите роутер, включите напрямую, проверьтесь на вирусы» посему терабайты лишнего трафика ходят по билайну впустую…

[la0]

Ваша задача — пройти первые две линии поддержки. Дальше специалисты NOC, а они по опыту довольно адекватные.

Answer 2

[Sergey]

можно попробовать прикрыться при помощи cloudflare.com. От пионерских атак точно защитят, причем в базовом варианте — бесплатно. Но желательно будет сменить статический IP домашний одновременно с этим, т.к. если «обиженный» атакует по IP, то не получится защититься подобными сервисами.
На базе имеющегося сервера мало шансов собрать мало-мальски приличную защиту от (D)DoS, такой «сервер» я смогу «завалить» запросами с одной машины.

Comments

[Sergey]

если уж пробовать на каком-нибудь линуксе собрать шлюз с анти-ддос, то вот есть такой проект: deflate.medialayer.com/, шелл-скрипт, помогающий в детектировании и отражении (Д)Дос-атак.

[Sergey]

хабра-статьи в помощь:
habrahabr.ru/post/71694/
habrahabr.ru/post/124492/
habrahabr.ru/post/39509/
habrahabr.ru/post/139931/
habrahabr.ru/post/104601/
habrahabr.ru/post/84172/

[Алексей Кузьмин]

за подсказку с cloudflare спасибо — задейстовавал, но они защищают только от атак на веб-сервисы, от SYN атак оно не поможет. Менять адрес тоже не вариант — он должен быть общедоступен…

[Sergey]

Как раз-таки от всех типов атак сетевого уровня они защитят просто в силу самой архитектуры сервиса. Смысл его в том, что настоящий IP сервера неизвестен никому, кроме вас, в DNS прописывается IP из их пула, далее идет реверс-проксирование.
Зачем домашний IP должен быть общедоступен? Должен быть доступен веб-ресурс (если ваш проект — веб-приложение, конечно), а в случае с cloudflare и им подобными, ip сервера как раз скрывается, в DNS видны только их адреса. В этом суть.

[Алексей Кузьмин]

В том то и дело что веб-сайт это только небольшая часть проекта, остальные части общаются с серверами по tcp

[Sergey]

тогда ой. Тогда только профессиональная защита, типа Qrator, Kaspersky, Prolexic.
На первое время хватит костыля, про который я рассказал чуть выше — (D)DoS Deflate.

[EugeneOZ]

bondbig а как qrator защитит, если атака будет по IP? Я не ради спора, просто трафик ведь до qrator и не дойдёт. Может уже придумали чего на этот случай?
xHellKern даже в Hetzner дорого? Дома хостить это ведь совсем любительский уровень, при желании вам просто моментально заполнят пропускную способность канала и ничего вы не сделаете.

[Sergey]

В случае с домашним хостингом — тоже никак. А вообще при помощи BGP.

[Алексей Кузьмин]

EugeneOZ Проект крайне любительский — без какого либо профита кроме как получения опыта себе и коллегам.
Что касается херцнера — проблема не в том что дорого а в том что это Германия, +50 к длине пинга так сказать…

[EugeneOZ]

xHellKern, и Вы их на глаз заметите? :) По моим субъективным меркам пока пинг ниже 70 в консоли работать комфортно, как-будто всё происходит у тебя на компе, никаких задержек. Из Питера до хетцнера 38 пинг. Никогда бы не подумал, что я буду рекомендовать Хетцнер (они как раз любительского уровня).

[Алексей Кузьмин]

Арендовать сервер чтобы в консоли сидеть — очень интересное занятие. Да, пинг важен. И еще одно дополнение(в предверии холивара) — прочитайте пожалуйста вопрос, там спрашивают совета про ОС и ПО, а не про сервисы…

[EugeneOZ]

xHellKern, у Вас ко мне претензии какие-то? Насколько мне интересны мои занятия — не Ваше дело. Холиварть мне с Вами не о чем. То, что Вы спрашиваете про ОС и ПО, не означает, что для решения Вашей проблемы нужны ОС или ПО. Вы можете просто не знать, что поможет Вам решить проблему. Как говорил Генри Форд, «Если бы я спросил людей, чего они хотят, они бы попросили более быструю лошадь». Всего доброго Вам, и не надо «хамить по телефону».

[Sergey]

насколько я понял, проект — какая-то онлайн игра?

[Алексей Кузьмин]

EugeneOZ К Вам никакие претензий нету, извините если мой комментарий показался Вам оскорбительным — не хотел никого обижать.
bondbig Да, проект — несколько игрушек.

Answer 3

[ddosguard]

Защита от ддос на одной машине (или роутере) зачастую обречена на провал. Достаточно только превысить возможности машины по процессору, памяти или каналу. Это довольно просто, если речь идет о DDoS (распределенной атаке несколькими машинами). Гарантированный вариант - стать на проксирование к специализированным сервисам, предварительно сменив реальный адрес машины и предусмотреть меры, чтобы его не спалить (например в почте и т.п.).

В нашей практике мы (ddos-guard.net) довольно частно сталкиваемся с подобными случаями и успешно их решаем. У нас на сайте есть онлайн консультант, там всегда есть кто-то из команды, кто может проконсультировать по вопросам защиты от ддос. Даже если не подойдет что-то из наших коммерческих решений, мы поможем консультациями и кейсами, фор фри, во имя безопасного интернета.

Comments

[Snowindy]

А как в почте не спалить? Вероятно, просто использовать какой-нибудь провайдер почты типа SendGrid, а если нужно локальный почтовый сервер, как не спалить его IP?

[ddosguard]

Snowindy: Злоумышленники узнают целевой IP обычно по MX записям или заголовкам отправляемых писем. При удаленной защите мы рекомендуем использовать сторонние почтовые сервисы, например Яндекс.Почта, ну или тот же SendGrid. Защита локального почтового сервера, в большинстве случаев, нецелесообразна.