<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body ><div>Me se na to osvedcilo nasledujici reseni:</div><div><br></div><div>Routingswitche Juniper EX4200 jako agregacni switche a primo na nich pustena jejich HW sFlow sonda.</div><div><br></div><div>Jako sFflow collector pmacct (pmacct.net) s memory backendem.</div><div><br></div><div>Pythonovej script kterej bezi v cronu a dela sumare + jednou za 5minut tu pamet flushne.</div><div><br></div><div>Na zaklade sumare toku podle zdrojovejch/cilovejch adres, protokolu nebo portu se dela protiopatreni. Tim muze byt shozeni VPS, nasazeni filtrace na switchich (pomoci JunoScript) nebo v nejhorsim pripade blackhole (Bird sbirajici lokalni blackhole routy primo na tom analyzeru).</div><div><br></div><div><br></div><div><div style="font-size:9px;color:#575757">Odesláno ze Samsung Mobile.</div></div><br><br><div>-------- Původní zpráva --------</div><div>Od: Pavel Snajdr <snajpa@snajpa.net> </div><div>Datum:02. 07. 2014  21:21  (GMT+01:00) </div><div>Komu: "vpsFree.cz Community list" <community-list@lists.vpsfree.cz> </div><div>Předmět: Re: [vpsFree.cz: community-list] Vypadky site v Praze okolo 20:00   dnes </div><div><br></div>-----BEGIN PGP SIGNED MESSAGE-----<br>Hash: SHA256<br><br>24. 6. v 1:00 AM CEST.<br><br>Ten FortiDDoS vypada jako zabugovana blbost, uz to zkouset nebudeme.<br><br>Vlastni reseni se nebude odvijet od detekce trilionu moznych anomalii,<br>jako to dela ten FortiDDoS, ale vylozene se zamerime na prusvihovy<br>veliciny, tzn. pocet packetu za vterinu (odchozi i prichozi) a datovy<br>prutok (zase inbound i outbound). Co nejjednodussi, aby to zachytilo<br>nejvetsi prusvihy, ale neomezilo legitimni traffic.<br><br>Nebudeme resit pocet HTTP pozadavku, malformed packety (chybny<br>hlavicky) a co ja vim co jeste ten FortiDDoS detekuje a zpracovava,<br>udelame to proste co nejjednoduseji a limity se nastavi tak vysoko,<br>jak nam to linka a routery dovoli, tzn. aby proslo fakt vsechno, co<br>muze a nepustilo to uz jenom to, co opravdu nestihame.<br><br>+ zadny adaptivni uceni se, proste nastavime ty limity fixne per<br>VPS/IP, budeme fakt resit jenom ty problemy, co obcas mame, a ne<br>vsechny mozny virtualni pseudoproblemy, co bychom kdy mohli mit.<br><br>/snajpa<br><br>On 07/02/2014 09:12 PM, Zlatko Fedor wrote:<br>> Ahoj<br>> <br>> od kedy to bolo zapnute? totiz uz par dni mam problem s tym, ze<br>> mam neustale connection timeout pri pripajani na facebook api a <br>> skoncilo to presne o 8:26. Moj server musi pravidelne a dost casto<br>>  kontaktovat servery mimo VPS a mozno to bolo vyhodnotene ako<br>> DDoS. Tento problem som mal aj v predchadzajucom VPS hostingu a<br>> kvoli tomu som zmigroval k Vam, pretoze u Vas doteraz nebol ziaden <br>> problem. Berte preto do uvahy aj mnozstvo legitimnych pripajani zo <br>> strany serverov von.<br>> <br>> dik za odpoved<br>> <br>> <br>> 2014-07-02 21:05 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net <br>> <mailto:snajpa@snajpa.net>>:<br>> <br>> Ahojte,<br>> <br>> jestli jste nekdo zaznamenal vypadky sluzeb/site na vpsFree z <br>> urcitych IP adres, bylo to zpusobene zarizenim FortiNET FortiDDoS, <br>> ktere jsme meli propujcene na testovani.<br>> <br>> Je to zarizeni, ktere by melo byt schopne odhalit a zamezit DDoS <br>> utokum vsech moznych typu, nicmene i kdyz bylo zapnute jenom v <br>> ucicim se modu, nikoliv enforcing, proste zblbnulo a na nektere <br>> nase IP/porty se nedalo z nekterych IP/portu z Internetu dostat.<br>> <br>> Uz je odpojene a uz ho zkouset nebudeme.<br>> <br>> Holt budeme muset udelat vlastni reseni pro obranu proti <br>> nejbeznejsim typu DDoS utoku.<br>> <br>> S pozdravem / Best regards,<br>> <br>> Pavel Snajdr<br>> <br>> +421 948 816 186  | +420 720 107 791          | 110-010-956 CTO of <br>> Relbit     | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | <br>> http://vpsfree.cz         | https://www.redhat.com <br>> _______________________________________________ Community-list <br>> mailing list Community-list@lists.vpsfree.cz <br>> <mailto:Community-list@lists.vpsfree.cz> <br>> http://lists.vpsfree.cz/listinfo/community-list<br>> <br>> <br>> <br>> <br>> -- S pozdravom / Kind regards Zlatko Fedor.<br>> <br>> <br>> <br>> _______________________________________________ Community-list <br>> mailing list Community-list@lists.vpsfree.cz <br>> http://lists.vpsfree.cz/listinfo/community-list<br>> <br>-----BEGIN PGP SIGNATURE-----<br>Version: GnuPG v1<br>Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/<br><br>iF4EAREIAAYFAlO0W5sACgkQMBKdi9lkZ6pyTQD8DaOcJGoziLE6UHVYL//ITePz<br>k8OEV8JxEI74flxJOBEA/3JoRqlTtBdxAQa5+mTYC8H5wq3BRYJrgz1VYyFmjazY<br>=bYiD<br>-----END PGP SIGNATURE-----<br>_______________________________________________<br>Community-list mailing list<br>Community-list@lists.vpsfree.cz<br>http://lists.vpsfree.cz/listinfo/community-list<br></body>