Задать вопрос
xHellKern
@xHellKern
IT специалист аутсорсер

Шлюз с защитой от DoS

Доброго времени суток.
Имеет место быть небольшой некоммерческий проект, основная вычислительная мощность которого «хостится» на квартире(4 сервера уровня proliant G3 на зеонах и два самосбора на современных десктопных ЦП). С недавнего времени один из «обиженных» начал DoS(пока, возможно далее будет DDoS) атаку SYN флудом и текущий роутер с этой нагрузкой не справляется — загрузка ЦП 100% пинги в интернет неутойчивые и длинные. Роутер D-Link DIR 620. Интернет l2tp 100Мбит.
Нашли в закромах еще один сервер, правда не HP а Kraftway с P4 3ГГц и 4Гб ОЗУ, с двумя сетевыми интерфейсами.
Задача — сделать из крафтвея роутер который будет раздавать интернеты в сервера и человекам отбиваясь от DoS(DDoS), крайне желательно иметь веб-интерфейс(или клиентское ПО) в котором будет видно больше чем mrtg, например распределение трафика по серверам, правила маршрутизации.
Вопрос — какая ОС и ПО наилучшим образом подойдут для решения вышеуказанных задач.

З.Ы. Mikrotik RouterOS попробовали — очень оригинально приходится организовывать работы с l2tp билайна(динамический адрес впн-сервера не поддерживается — пришлось городить скрипты) и в ненастроенном варианте система зависает наглухо — доже на Numlock не реагирует — немного пугает надежность такой системы.
  • Вопрос задан
  • 7070 просмотров
Подписаться 7 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@lubezniy
ИМХО единственный кошерный вариант — перевод серверов в дата-центр (по меньшей мере, перевести туда доступные извне узлы) и обеспечение защиты от DDoS силами провайдера дата-центра или специализированной конторы. Помимо роутера, есть ещё оборудование у провайдера, которому вряд ли понравится DDoS на его канал (могут начаться ограничения).
Ответ написан
@bondbig
можно попробовать прикрыться при помощи cloudflare.com. От пионерских атак точно защитят, причем в базовом варианте — бесплатно. Но желательно будет сменить статический IP домашний одновременно с этим, т.к. если «обиженный» атакует по IP, то не получится защититься подобными сервисами.
На базе имеющегося сервера мало шансов собрать мало-мальски приличную защиту от (D)DoS, такой «сервер» я смогу «завалить» запросами с одной машины.
Ответ написан
@ddosguard
Защита от ддос на одной машине (или роутере) зачастую обречена на провал. Достаточно только превысить возможности машины по процессору, памяти или каналу. Это довольно просто, если речь идет о DDoS (распределенной атаке несколькими машинами). Гарантированный вариант - стать на проксирование к специализированным сервисам, предварительно сменив реальный адрес машины и предусмотреть меры, чтобы его не спалить (например в почте и т.п.).

В нашей практике мы (ddos-guard.net) довольно частно сталкиваемся с подобными случаями и успешно их решаем. У нас на сайте есть онлайн консультант, там всегда есть кто-то из команды, кто может проконсультировать по вопросам защиты от ддос. Даже если не подойдет что-то из наших коммерческих решений, мы поможем консультациями и кейсами, фор фри, во имя безопасного интернета.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы