Как защитить домашний Сервер от DDoS атак?

Question

[NeoLight2]

Можно ли как-то обезопасить свой Домашний Сервер (домашнюю сеть) от DDoS атак LDAP, DNS , UDPMIX хотя-бы от 1гбит/s - 20гбит/s DDoS атак? Имеется интернет канал 1 гбит/s (оптика) а так же маршрутизатор mikrotik CRS212-1G-10S-1S+IN. ( Насколько мне известно почти у всех моделей mikrotik та же ОСь и в принципе разница в пропускной способности и большим/меньшим кол.вом портов). Какое оборудование купить чтобы отразить подобные атаки?
Я слышал что даже если приобрести аппаратные "фильтры" то всё равно забьётся интернет канал (pipe) от провайдера при большой DDoS атаке ((
Есть ли какие нибудь решения на этот счет ?
Заранее спасибо.

Comments

[Дмитрий]

CRS212-1G-10S-1S+IN в первую очередь коммутатор. У него слабенький процессор и он загнётся уже на 300mbps, а если ещё правил фаервола накидать- то и того раньше.

Answer 1

[АртемЪ]

Смотря какие атаки.
Существует два типа атак - атаки на приложение, и атаки на канал.

• Если идет атака на приложение- все можно решить самостоятельно настройкой софта или апгрейдом железа
  
• Если идет атака на канал - тут уже ничем сам не поможешь. Только внешняя защита.
  

Единственное решение при атаке на канал покупать внешнюю защиту, чтобы ваш адрес нигде не фигурировал и злоумышленники его не знали.
Организации которые предоставляют внешнюю защиту имеют очень широкие каналы, и для них плюс минус 10 Гигабит погоды не сделает.
В этом случае весь трафик атаки идет на IP адрес защиты, а оттуда уже отфильтрованный к вам.

И тут совсем нет разницы домашний у вас сервер, или он в датацентре стоит.

Comments

[NeoLight2]

Я видел есть оборудование по типу Radware Defence Pro или Huawei AntiDDOS . Если они не помогут в такой ситуации то зачем они тогда нужны? Или такое оборудование ставят на магистральные каналы провайдера ?

[АртемЪ]

Если идет атака на канал - трафик тупо не дойдет до этого оборудования, ибо канал забит на 100%.
Там вы хоть какое оборудование ставьте - ему нечего обрабатывать будет.

А если у вас достаточно широкий канал, чтобы не замечать такую мелочевку как атаки на 10Гб, то можете и оборудование ставить, и софт настраивать.

Answer 2

[CityCat4]

На домашние сети не бывает DDOS-атак. Потому что сначала атака пойдет на оборудование прова, который Вас просто отключит до выяснения. Трафик-то - он же не по воздуху летит - по проводам идет. А прову нафиг такие заморочки.

Comments

[Камил]

Остается только вопрос, о роутерах, Зачем пишут о защите от ддос, если по факту получает по голове провайдер

Answer 3

[Владимир]

Вы можете использовать сервисы типа Cloudflare для маскировки вашего домашнего сервера.

Comments

[Sanes]

Только web.

[NeoLight2]

Но ведь подобные сервисы сильно повышают пинг или обрезают скорости на выходе ;((

[Андрей Гаврилов]

NeoLight2, но ведь для сайта это не важно

[NeoLight2]

Андрей Гаврилов, у меня VPSки и игровые сервера на нём

[Андрей Гаврилов]

NeoLight2, дома никогда не хостите, используйте colocation, а так же доп ддос защиту

Answer 4

[Пума Тайланд]

То есть купить железный фильтр за 15к баксов вас не смущает, а купить каналы по 10 гигабит домой вы почему то не можете)))

Comments

[NeoLight2]

Живу в стране где 10гбит/s каналы выдают только большим корпорациям или Элите ))

[Пума Тайланд]

NeoLight2, Туркменистан что ли?
В СНГ везде без проблем за бабло дают каналы нынче любые только деньги заноси

[NeoLight2]

Пума Тайланд, Я не из СНГ )) В общем нету возможности 10гбит/s выделенного канала , а так ищу оборудование "фильтр" которое хоть как то в этом сможет помочь

[Пума Тайланд]

NeoLight2, а где живёте то?

[NeoLight2]

Пума Тайланд, Израиль

Answer 5

[roma_chepiga]

Решил вопрос? если да отпиши мне в личку как vk.com/roma_chepiga

Тоже такое что надо защитить ипшник от л4, но провайдер вообще голый не защищает абсолютно никак, есть одна задумка как защититься , но незнаю она сработает или нет

Вообщем если проксировать ипшник каким-то другим хостом то есть создать впн на каком нибудь чужом хосте где защита от л4 нормальная и там создать впн и подключиться к этому впну с ипшника который нужно защитить и сделать так чтобы траффик с твоего ипшника шел к нему и все должно работать как на основном ип как то так

Comments

[roma_chepiga]

Других вариантов нет, канал забивается и все ничего с этим не поделаешь только проксирование ипшника

[Камил]

Будет большая потеря скорости

[roma_chepiga]

Камил, не будет если брать сервер не подалеку с защитой от л4 с минимальным пингом то будет нормально, допустим от меня до stormwall в мск пинг 25 дальше суди сам