caxapa.ru :: При размерах атакующей сети до 10к машин (10к IP адресов) размеры бан таблиц не так уж и велики. Все на кристалле поместится.

Evgeny_CD^{Архитектор} (27.06.2009 15:54, просмотров: 183) ответил Evgeny_CD на Интересно, а есть аппаратные firewall, которые прямо в разрыв сетевого кабеля втыкаются?

При размерах атакующей сети до 10к машин (10к IP адресов) размеры бан таблиц не так уж и велики. Все на кристалле поместится.

Ответить

- Если полностью аппаратное решение не самоцель, масочное ПЗУ тоже, то в дешёвых роутерах для дома/миниофиса уже достаточно давно есть поддержка черных списков. Кроме того, если Вы не делаете оборудование для провайдеров, то такие задачи не актуальны. Vit(222 знак., 27.06.2009 16:49, ссылка)
  - Как я уже тут долго распинаюсь, полностью программное или полностью аппаратное решение никогда не будут эффективными. Только симбиоз. - Evgeny_CD(27.06.2009 16:55)
  - Я скорее думаю о защите для простого сервера, который выставлен в инет. Специальные тарифные планы с поддержкой защиты от DDoS атак на уровне бекбона провайдера стоят очень дорого. - Evgeny_CD(27.06.2009 16:53)
    - У моей материнки в чипсете заложен "почти аппаратный" файрволл. точно то, что дурная работа по подсчёту CRC делается там на аппаратном уровне. что ещё - можно спросить у NVidia - Vit(27.06.2009 17:52)
      - CRC - это часть засады. Нужно иметь нехилые таблицы в памяти - типа можно ли этому пакету от этого адреса идти. Nvidia аппаратный ускоритель - хорошо, но не все. - Evgeny_CD(27.06.2009 18:41)
    - "простой" сервер на 10К машин? а насчёт DDoS проблемы могут быть по-любому, но они тем и отличаются, что бодают не с одного IP/MAC, а с туевой хучи. В принципе, с помощью DummyNet давится, но эффективно лишь при наличии белого списка. Кстати, на днях Vit(38 знак., 27.06.2009 17:36, ссылка)
      - Хм... 10к атакующих машин - такого ботнета вроде пока еще не было. 6 вроде макс. из зарегистрированных. Сколько у меня будет "белых" юзеров, и откуда они - мне неведомо, вариант с белым списком не поможет. Еще раз. Если нас гасят пакетами по 64 байта, Evgeny_CD(203 знак., 27.06.2009 18:40)
        
        DummyNet это эмулятор плохой связи. Для IPFW устанавливается правило - все запросы с длиной менее N, пинги и подобная фигня отправляются в узкий DummyNet Pipe (или разные пайпы) - шворку с заданной убогой пропускной способностью - там просто заданная Vit(128 знак., 27.06.2009 18:58)
        
        Гы-гы, т.е. мы просто увеличиваем шансы гадов на успех :) Втт пришла к нам куча пакетов. Есть наши, и есть пакеты гадов. Пакетов гадов намного больше. Сузив полосу для всех, мы отрежем пропорциональное число пакетов. Т.е. белые пакеты тоже порежутся. - Evgeny_CD(27.06.2009 19:11)
        
        Внимательнее читайте, пожалуйста. Я не писал "для всех пакетов". Vit(809 знак., 27.06.2009 20:05)
        
        И все равно толком это проблему не решит. Ок, выкинули мы мелкие пакеты - чуть легче стало. Флудить нас теперь можно только пакетами по 256 байт и более. Но их все равно десятки тысяч в секунду. Приняли мы пакет. Evgeny_CD(237 знак., 27.06.2009 22:20)
        
        ;) Нельзя объять необъятное(С) Vit(885 знак., 27.06.2009 23:40)
        
        В общем, я согласен, что практический диапазон доступной ширины полосы на порт даже в data center лежит где-то между 100 и 1000 мбит/сек. 100Мбит/сек, судя по найденному, можно расфильтровать на современных дешевых FPGA ценой до 100$ включительно, а вот Evgeny_CD(429 знак., 28.06.2009 00:42)
        
        Я когда-то администрил Linux Router, который бутился с дискеты. Там NAT с учетом трафика по группам юзеров был верхом достижений :) Шейпингом точно не пришлось заниматься. - Evgeny_CD(27.06.2009 20:07)
        
        Именно поэтому и была поставлена фряха;) - Vit(27.06.2009 20:41, ссылка)

Средства и методы разработки