Задать вопрос
@SODINNER

Ограничение трафика на открытые порты?

Добрый день, допустим есть домашняя сеть, которая одновремено используется для домашнего хостинга.
Предположим что я хосчу вебсайт на порте 80, больше открытых портов у меня нет.
Если кто-то решит заддосить сайт, он забьет весь интернет-канал и соответственно интернет станет недоступным.
Можно и если да, то как именно, ограничить трафик на определённый порт(ы)?
Ну например у меня канал 400/40, я бы мог выделить 200/20 под сайт, а остальное для домашней сети.
В случае ддоса, чтобы могли забить лишь 50% интернет канала и лёг сайт, но чтобы все остальные устройства дома работали.
Можно ли сделать это прослойкой между роутером провайдера и сетью например в виртаулизированном pfsense?
Или надо покупать отдельный роутер? В любом случае роутер поменять будет сложно, как минимум потому что интернет через коаксиальный кабель, максимум что могу сделать, это прокинуть аплинк с роутера в другой роутер и там уже настроить это всё дело, но это работать не будет.
Может я описал как-то не так или предположил что-то не то, но суть понятна:
Имея одну сеть, разделить на две, чтобы при ддосе легла лишь одна из двух, а вторая продолжала свою работу.
Возможно ли вообще такое, ибо не хочется арендовать второе интернет-подключение для этого дела.
  • Вопрос задан
  • 298 просмотров
Подписаться 1 Средний 7 комментариев
Решения вопроса 1
@nApoBo3
Из реальных способов.
1.Вы размешаете на другом канале роутер и с него отправляете уже лимитированный трафик в ваш канал.
2.Купить облачную защиту от DDOS.

Первый вариант скорее всего будет дешевле. Размещаете виртуальный роутер на хостинге и лимитируете линк в сторону вашего роутера, правда почему сразу на этом хостинге не разместить сайт. Но второй вариант предпочтительней.

Самое главное, не понятно кому и зачем устраивать такую атаку на ваш сайт.
Если вы хотите предпринять, что-то на всякий случай случай, сделайте вашему сайту отдельный ip, в случае чего можно будет у провайдера заблокировать только его, а для сайта поменять DNS запись. Для сайтов простой который в несколько часов не слишком критичен этого будет достаточно.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@ComodoHacker
Краткий ответ: нельзя.

Если на ваш внешний IP адрес, то есть на ваш пограничный роутер приходит пакет, вы в принципе может сделать с ним две вещи: принять (и например переправить на сервер в домашней сети) или не принять (дропнуть). И в том и в другом случае пакет уже пришел к вам и уже занял часть пропускной способности вашего канала. Больше никакого контроля над входящим трафиком у вас нет. Атакующий может забить ваш канал SYN пакетами на любой порт, хоть открытый, хоть закрытый. Именно поэтому DDoS работает.

Единственный способ сделать так, чтобы эти пакеты не занимали ваш канал, это не посылать их туда, то есть дропать еще раньше, на роутере провайдера. И если вас действительно начнут досить, то провайдер сделает это, будьте уверены! Он отрубит ваш линк гораздо раньше, чем забьется ваш канал.
Ответ написан
Комментировать
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Можно и если да, то как именно, ограничить трафик на определённый порт(ы)?
Это может сделать провайдер или стононний сервис за приличную оплату.
Провайдеры обычно таким не занимаются - им проще отключить проблемного абонента.

Ну например у меня канал 400/40, я бы мог выделить 200/20 под сайт, а остальное для домашней сети
При DDOS ляжет канал от провайдера к вам, и доступа в интернет не будет.
А внутри своей локальной сети вы можете делить что угодно.
Ответ написан
Комментировать
@yaror
10 лет в мобильном телекоме
В принципе, если Ваш провайдер готов разделить Ваш канал на два VLAN и настроить в нём QoS таким образом, чтобы каждый VLAN имел некоторую гарантированную полосу, то почему нет?
Сделать это со стороны провайдера обычно можно, но - лень )

А ещё есть техническая возможность отсеять DDoS с вашей стороны, однако, для этого придётся либо воспользоваться услугой очистки трафика от провайдера либо специализированной конторы, либо - самый "лобовой" способ - поднять с вашим провайдером BGP + BGP Flowspec.
Полагаю, коммерческие вопросы обсуждаются обычно отдельно )

Итак, BGP Flowspec: RFC 5575/7674.
Если кратко, то BGP Flowspec позволит Вам попросить вышестоящего провайдера даже в автоматическом - важно! - режиме заблокировать входящий трафик, удовлетворяющий некоторым критериям:
- Source Prefix
- Destination Prefix
- IP Protocol
- Source port/Destination port
- Packet Length
и т.д.

То есть, с помощью стандартного расширения протокола BGP Вы можете попросить Вашего провайдера: "Пожалуйста, не пропускайте в мою сторону UDP-пакеты размерами от 100 до 150 байт с source port из диапазона 1000-2000 и имеющие Source ip address из диапазона 1.2.3.0/24"

Таким образом - да, трафик, который Вы попросили к Вам не пропускать, умрёт ещё у Вашего провайдера (а может, и у провайдера Вашего провайдера), и Ваш канал перегружен не будет.
Открытым, конечно, остаётся творческий вопрос "как понять, какой именно трафик следует блокировать" )

Вероятно, BGP Flowspec есть смысл использовать _совместно_ с разделением канала на два VLAN с гарантированной минимальной полосой: один VLAN для управления и, если понадобится, ручной модификации правил Flowspec, а второй - продуктивный.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы