Задать вопрос
xHellKern
@xHellKern
IT специалист аутсорсер
сетевое-администрирование

Шлюз с защитой от DoS

Доброго времени суток.
Имеет место быть небольшой некоммерческий проект, основная вычислительная мощность которого «хостится» на квартире(4 сервера уровня proliant G3 на зеонах и два самосбора на современных десктопных ЦП). С недавнего времени один из «обиженных» начал DoS(пока, возможно далее будет DDoS) атаку SYN флудом и текущий роутер с этой нагрузкой не справляется — загрузка ЦП 100% пинги в интернет неутойчивые и длинные. Роутер D-Link DIR 620. Интернет l2tp 100Мбит.
Нашли в закромах еще один сервер, правда не HP а Kraftway с P4 3ГГц и 4Гб ОЗУ, с двумя сетевыми интерфейсами.
Задача — сделать из крафтвея роутер который будет раздавать интернеты в сервера и человекам отбиваясь от DoS(DDoS), крайне желательно иметь веб-интерфейс(или клиентское ПО) в котором будет видно больше чем mrtg, например распределение трафика по серверам, правила маршрутизации.
Вопрос — какая ОС и ПО наилучшим образом подойдут для решения вышеуказанных задач.

З.Ы. Mikrotik RouterOS попробовали — очень оригинально приходится организовывать работы с l2tp билайна(динамический адрес впн-сервера не поддерживается — пришлось городить скрипты) и в ненастроенном варианте система зависает наглухо — доже на Numlock не реагирует — немного пугает надежность такой системы.
  • Вопрос задан
  • 7059 просмотров
Комментировать
Подписаться 7 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@lubezniy
ИМХО единственный кошерный вариант — перевод серверов в дата-центр (по меньшей мере, перевести туда доступные извне узлы) и обеспечение защиты от DDoS силами провайдера дата-центра или специализированной конторы. Помимо роутера, есть ещё оборудование у провайдера, которому вряд ли понравится DDoS на его канал (могут начаться ограничения).
Ответ написан
2 комментария
2 комментария
@bondbig
можно попробовать прикрыться при помощи cloudflare.com. От пионерских атак точно защитят, причем в базовом варианте — бесплатно. Но желательно будет сменить статический IP домашний одновременно с этим, т.к. если «обиженный» атакует по IP, то не получится защититься подобными сервисами.
На базе имеющегося сервера мало шансов собрать мало-мальски приличную защиту от (D)DoS, такой «сервер» я смогу «завалить» запросами с одной машины.
Ответ написан
14 комментариев
14 комментариев
@ddosguard
Защита от ддос на одной машине (или роутере) зачастую обречена на провал. Достаточно только превысить возможности машины по процессору, памяти или каналу. Это довольно просто, если речь идет о DDoS (распределенной атаке несколькими машинами). Гарантированный вариант - стать на проксирование к специализированным сервисам, предварительно сменив реальный адрес машины и предусмотреть меры, чтобы его не спалить (например в почте и т.п.).

В нашей практике мы (ddos-guard.net) довольно частно сталкиваемся с подобными случаями и успешно их решаем. У нас на сайте есть онлайн консультант, там всегда есть кто-то из команды, кто может проконсультировать по вопросам защиты от ддос. Даже если не подойдет что-то из наших коммерческих решений, мы поможем консультациями и кейсами, фор фри, во имя безопасного интернета.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор
FS Travel Москва
от 170 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Эксперт Oracle DBA
Softline Москва
от 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создать логотип
19 апр. 2024, в 14:10
500 руб./за проект
Разработка дизайна мобильного приложения которое управляет вентиляцией
19 апр. 2024, в 14:01
70000 руб./за проект
Софт на js
19 апр. 2024, в 13:31
10000 руб./за проект
Ещё заказы