Me se na to osvedcilo nasledujici reseni:

Routingswitche Juniper EX4200 jako agregacni switche a primo na nich pustena jejich HW sFlow sonda.

Jako sFflow collector pmacct (pmacct.net) s memory backendem.

Pythonovej script kterej bezi v cronu a dela sumare + jednou za 5minut tu pamet flushne.

Na zaklade sumare toku podle zdrojovejch/cilovejch adres, protokolu nebo portu se dela protiopatreni. Tim muze byt shozeni VPS, nasazeni filtrace na switchich (pomoci JunoScript) nebo v nejhorsim pripade blackhole (Bird sbirajici lokalni blackhole routy primo na tom analyzeru).


Odesláno ze Samsung Mobile.


-------- Původní zpráva --------
Od: Pavel Snajdr
Datum:02. 07. 2014 21:21 (GMT+01:00)
Komu: "vpsFree.cz Community list"
Předmět: Re: [vpsFree.cz: community-list] Vypadky site v Praze okolo 20:00 dnes

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

24. 6. v 1:00 AM CEST.

Ten FortiDDoS vypada jako zabugovana blbost, uz to zkouset nebudeme.

Vlastni reseni se nebude odvijet od detekce trilionu moznych anomalii,
jako to dela ten FortiDDoS, ale vylozene se zamerime na prusvihovy
veliciny, tzn. pocet packetu za vterinu (odchozi i prichozi) a datovy
prutok (zase inbound i outbound). Co nejjednodussi, aby to zachytilo
nejvetsi prusvihy, ale neomezilo legitimni traffic.

Nebudeme resit pocet HTTP pozadavku, malformed packety (chybny
hlavicky) a co ja vim co jeste ten FortiDDoS detekuje a zpracovava,
udelame to proste co nejjednoduseji a limity se nastavi tak vysoko,
jak nam to linka a routery dovoli, tzn. aby proslo fakt vsechno, co
muze a nepustilo to uz jenom to, co opravdu nestihame.

+ zadny adaptivni uceni se, proste nastavime ty limity fixne per
VPS/IP, budeme fakt resit jenom ty problemy, co obcas mame, a ne
vsechny mozny virtualni pseudoproblemy, co bychom kdy mohli mit.

/snajpa

On 07/02/2014 09:12 PM, Zlatko Fedor wrote:
> Ahoj
>
> od kedy to bolo zapnute? totiz uz par dni mam problem s tym, ze
> mam neustale connection timeout pri pripajani na facebook api a
> skoncilo to presne o 8:26. Moj server musi pravidelne a dost casto
>  kontaktovat servery mimo VPS a mozno to bolo vyhodnotene ako
> DDoS. Tento problem som mal aj v predchadzajucom VPS hostingu a
> kvoli tomu som zmigroval k Vam, pretoze u Vas doteraz nebol ziaden
> problem. Berte preto do uvahy aj mnozstvo legitimnych pripajani zo
> strany serverov von.
>
> dik za odpoved
>
>
> 2014-07-02 21:05 GMT+02:00 Pavel Snajdr <snajpa@snajpa.net
> <mailto:snajpa@snajpa.net>>:
>
> Ahojte,
>
> jestli jste nekdo zaznamenal vypadky sluzeb/site na vpsFree z
> urcitych IP adres, bylo to zpusobene zarizenim FortiNET FortiDDoS,
> ktere jsme meli propujcene na testovani.
>
> Je to zarizeni, ktere by melo byt schopne odhalit a zamezit DDoS
> utokum vsech moznych typu, nicmene i kdyz bylo zapnute jenom v
> ucicim se modu, nikoliv enforcing, proste zblbnulo a na nektere
> nase IP/porty se nedalo z nekterych IP/portu z Internetu dostat.
>
> Uz je odpojene a uz ho zkouset nebudeme.
>
> Holt budeme muset udelat vlastni reseni pro obranu proti
> nejbeznejsim typu DDoS utoku.
>
> S pozdravem / Best regards,
>
> Pavel Snajdr
>
> +421 948 816 186  | +420 720 107 791          | 110-010-956 CTO of
> Relbit     | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com |
> http://vpsfree.cz         | https://www.redhat.com
> _______________________________________________ Community-list
> mailing list Community-list@lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> -- S pozdravom / Kind regards Zlatko Fedor.
>
>
>
> _______________________________________________ Community-list
> mailing list Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iF4EAREIAAYFAlO0W5sACgkQMBKdi9lkZ6pyTQD8DaOcJGoziLE6UHVYL//ITePz
k8OEV8JxEI74flxJOBEA/3JoRqlTtBdxAQa5+mTYC8H5wq3BRYJrgz1VYyFmjazY
=bYiD
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list