Ограничение трафика на открытые порты?

Question

[Николай]

Добрый день, допустим есть домашняя сеть, которая одновремено используется для домашнего хостинга.
Предположим что я хосчу вебсайт на порте 80, больше открытых портов у меня нет.
Если кто-то решит заддосить сайт, он забьет весь интернет-канал и соответственно интернет станет недоступным.
Можно и если да, то как именно, ограничить трафик на определённый порт(ы)?
Ну например у меня канал 400/40, я бы мог выделить 200/20 под сайт, а остальное для домашней сети.
В случае ддоса, чтобы могли забить лишь 50% интернет канала и лёг сайт, но чтобы все остальные устройства дома работали.
Можно ли сделать это прослойкой между роутером провайдера и сетью например в виртаулизированном pfsense?
Или надо покупать отдельный роутер? В любом случае роутер поменять будет сложно, как минимум потому что интернет через коаксиальный кабель, максимум что могу сделать, это прокинуть аплинк с роутера в другой роутер и там уже настроить это всё дело, но это работать не будет.
Может я описал как-то не так или предположил что-то не то, но суть понятна:
Имея одну сеть, разделить на две, чтобы при ддосе легла лишь одна из двух, а вторая продолжала свою работу.
Возможно ли вообще такое, ибо не хочется арендовать второе интернет-подключение для этого дела.

Comments

[Strabbo]

В случае ддоса, чтобы могли забить лишь 50% интернет канала и лёг сайт, но чтобы все остальные устройства дома работали

В случае ддоса на забивание траффик, забивается 100% канала

[Николай]

Strabbo, Ну вот и спрашиваю, есть ли возможность разделить как-то канал? Я же не один с такой проблемой сталкиваюсь, придумали же наверное что-то

[Strabbo]

Николай,

есть ли возможность разделить как-то канал?

Возможность есть, но скорее всего для вас это будет дорого. Есть сервис защиты от ддос атаки, но для домашней сети он не подойдет. Работает это примерно так:
есть провайдер с большим каналом, например 100G или 200G или 300 и так далее.. ваш сервис находится у него и он фильтрует весь траффик. Если хотите оставить сервис у вас дома, то понадобиться строить тунель до этого провайдера и через него гонять траффик. Это все стоит денег.

[Николай]

Strabbo, Это я знаю, но это не решение для домашнего хостинга. У меня лишь два варианта нормальных, либо еще один интернет-канал подключить и через него хостить, что в моем случае (В Германии) слишком дорого для хобби и можно просто купить VPS и не парить мозги, ну либо найти способ разделить сеть, я всё таки думаю что должен быть способ с роутером нормальным, разделить сеть на два VLAN'a и ограничить трафик или что-то в этом роде.

[Strabbo]

Николай,

я всё таки думаю что должен быть способ с роутером нормальным, разделить сеть на два VLAN'a и ограничить трафик или что-то в этом роде

Нету, в случае ддос это не поможет.

[Ruslan-Strannik]

ддос канал забивает так, что полезная часть трафика к тебе не может пробиться.
Представь что 100 человек пытаются войти в одну дверь. А за дверью стоит твой роутер и делит скорость :):)
Толку не будет детиль скорость трафика, который УЖЕ пришел к тебе на роутер. Он уже поступил. Толку его фильтровать?

[Ruslan-Strannik]

остается надеяться на провайдера, который может отсекать зловредный трафик

Answer 1

[nApoBo3]

Из реальных способов.
1.Вы размешаете на другом канале роутер и с него отправляете уже лимитированный трафик в ваш канал.
2.Купить облачную защиту от DDOS.

Первый вариант скорее всего будет дешевле. Размещаете виртуальный роутер на хостинге и лимитируете линк в сторону вашего роутера, правда почему сразу на этом хостинге не разместить сайт. Но второй вариант предпочтительней.

Самое главное, не понятно кому и зачем устраивать такую атаку на ваш сайт.
Если вы хотите предпринять, что-то на всякий случай случай, сделайте вашему сайту отдельный ip, в случае чего можно будет у провайдера заблокировать только его, а для сайта поменять DNS запись. Для сайтов простой который в несколько часов не слишком критичен этого будет достаточно.

Comments

[Николай]

Очень интересный способ решить эту проблему, действительно помог, спасибо.

Answer 2

[ComodoHacker]

Краткий ответ: нельзя.

Если на ваш внешний IP адрес, то есть на ваш пограничный роутер приходит пакет, вы в принципе может сделать с ним две вещи: принять (и например переправить на сервер в домашней сети) или не принять (дропнуть). И в том и в другом случае пакет уже пришел к вам и уже занял часть пропускной способности вашего канала. Больше никакого контроля над входящим трафиком у вас нет. Атакующий может забить ваш канал SYN пакетами на любой порт, хоть открытый, хоть закрытый. Именно поэтому DDoS работает.

Единственный способ сделать так, чтобы эти пакеты не занимали ваш канал, это не посылать их туда, то есть дропать еще раньше, на роутере провайдера. И если вас действительно начнут досить, то провайдер сделает это, будьте уверены! Он отрубит ваш линк гораздо раньше, чем забьется ваш канал.

Answer 3

[АртемЪ]

Можно и если да, то как именно, ограничить трафик на определённый порт(ы)?

Это может сделать провайдер или стононний сервис за приличную оплату.
Провайдеры обычно таким не занимаются - им проще отключить проблемного абонента.

Ну например у меня канал 400/40, я бы мог выделить 200/20 под сайт, а остальное для домашней сети

При DDOS ляжет канал от провайдера к вам, и доступа в интернет не будет.
А внутри своей локальной сети вы можете делить что угодно.

Answer 4

[Ярослав]

В принципе, если Ваш провайдер готов разделить Ваш канал на два VLAN и настроить в нём QoS таким образом, чтобы каждый VLAN имел некоторую гарантированную полосу, то почему нет?
Сделать это со стороны провайдера обычно можно, но - лень )

А ещё есть техническая возможность отсеять DDoS с вашей стороны, однако, для этого придётся либо воспользоваться услугой очистки трафика от провайдера либо специализированной конторы, либо - самый "лобовой" способ - поднять с вашим провайдером BGP + BGP Flowspec.
Полагаю, коммерческие вопросы обсуждаются обычно отдельно )

Итак, BGP Flowspec: RFC 5575/7674.
Если кратко, то BGP Flowspec позволит Вам попросить вышестоящего провайдера даже в автоматическом - важно! - режиме заблокировать входящий трафик, удовлетворяющий некоторым критериям:
- Source Prefix
- Destination Prefix
- IP Protocol
- Source port/Destination port
- Packet Length
и т.д.

То есть, с помощью стандартного расширения протокола BGP Вы можете попросить Вашего провайдера: "Пожалуйста, не пропускайте в мою сторону UDP-пакеты размерами от 100 до 150 байт с source port из диапазона 1000-2000 и имеющие Source ip address из диапазона 1.2.3.0/24"

Таким образом - да, трафик, который Вы попросили к Вам не пропускать, умрёт ещё у Вашего провайдера (а может, и у провайдера Вашего провайдера), и Ваш канал перегружен не будет.
Открытым, конечно, остаётся творческий вопрос "как понять, какой именно трафик следует блокировать" )

Вероятно, BGP Flowspec есть смысл использовать _совместно_ с разделением канала на два VLAN с гарантированной минимальной полосой: один VLAN для управления и, если понадобится, ручной модификации правил Flowspec, а второй - продуктивный.