Как защититься от Amplified Reflection?

Question

[Олег Войтенко]

Народ! Сталкиваюсь с тем в последнее время, что меня ддосит Гугл. Но поразмыслив и порыв этот же гугл, наткнулся на мысль, что это злоумышленник подменяет заголовки TCP пакетов (Amplified Reflection).

Понимаю, что косяк за провайдерами, которые не валидируют проходящие через их оборудование пакеты.

Интересны ваши мысли, как защититься от этого дерьма?

Comments

[Дмитрий Шицков]

На самом деле это может быть и "гугл" . У него же есть услуги облачного хостинга. Атаки могут идти с заражённых виртуалок.

[Валентин]

Понимаю, что косяк за провайдерами, которые не валидируют проходящие через их оборудование пакеты.

А с чего это виноват оператор? Вам канал дали? Все остальное, в т.ч. И защита от ddos, платные услуги

[Vitaly Karasik]

меня ддосит Гугл

Какие протоколы?

Answer 1

[xmoonlight]

Внешний IP - Ваш? Провайдер сделал всё корректно!
Вы сами решаете как и какие пакеты Вам принимать, а какие - нет.
1. Пропускайте только ожидаемые пакеты на файрволе.
2. Закройте tcp/udp-релэи различных служб из-вне.
Почитайте

Comments

[Олег Войтенко]

Это веб серверы. там и почта и базы и веб и ссл порты. Все остальное закрыто. Но злоумышленники в часть сайтов (например, вордпресс) путем прохода через уязвимости, внедряют бекдоры и с типа гугловых ip начинают их исполнять. Клиент думает, что это его гугл парсит, а на самом деле не гугл.

[xmoonlight]

Олег Войтенко, Сайты - клиентов. Вот пусть они и следят за ними.
Ваша задача - не допустить доступ из окружения хостинга к хост-среде (и, по возможности, проинформировать клиента в случае обнаружения подозрительной активности) и следить, чтобы процессорное время и дисковая активность была в норме.
Внедрите проактивную защиту.

[Олег Войтенко]

xmoonlight, здесь стоит вопрос полноценного понимания такого вида атак и защиты от них.

[xmoonlight]

Олег Войтенко, на вопрос - я дал ответ.
Остальное - от Вас зависит: читайте, изучайте, понимайте.
Здесь - не обучают.