با سلام. ما داخل ایران سرور زیاد داریم. دیتاسنتری که باهاش همکاری داریم (و بنا به دلایلی مجبوریم ادامه همکاری بدیم) فایروال داره ولی اصلا نداشته باشه سنگین تره ... یعنی عملا هیچ کاری انجام نمیده (ممکن هم هست بیخودی به مشتریاشون بگن که فایروال داریم و اصلا نداشته باشن)
سرورها به محض اینکه اتک می خورن میرن روی اینترانت و این خیلی بده ...
اتک اکثرا روی پورت 17 Udp هستش .
سرورها همگی میکروتیک هستن. قبلا داخل یکی از انجمن ها یکی از دوستان یه سری تنظیمات روی میکروتیک اعمال کرد که هیج تاثیری نداشت، ایشون اومدن سروایس های غیرضروری رو غیرفعال کردن و سطح دسترسی بقیه رو به یک رنج خاص آی پی ها محدود کردن ... بگذریم ....
از دوستان حرفه ای که در شبکه، اینترنت، میکروتیک و امنیت تجربه کافی دارن تقاضای همکاری در جهت رفع این مشکل رو داریم .
هزینه انجام کار توافقی
با تشکر
yastheme
August 9th, 2015, 19:15
با سلام. ما داخل ایران سرور زیاد داریم. دیتاسنتری که باهاش همکاری داریم (و بنا به دلایلی مجبوریم ادامه همکاری بدیم) فایروال داره ولی اصلا نداشته باشه سنگین تره ... یعنی عملا هیچ کاری انجام نمیده (ممکن هم هست بیخودی به مشتریاشون بگن که فایروال داریم و اصلا نداشته باشن)
سرورها به محض اینکه اتک می خورن میرن روی اینترانت و این خیلی بده ...
اتک اکثرا روی پورت 17 Udp هستش .
سرورها همگی میکروتیک هستن. قبلا داخل یکی از انجمن ها یکی از دوستان یه سری تنظیمات روی میکروتیک اعمال کرد که هیج تاثیری نداشت، ایشون اومدن سروایس های غیرضروری رو غیرفعال کردن و سطح دسترسی بقیه رو به یک رنج خاص آی پی ها محدود کردن ... بگذریم ....
از دوستان حرفه ای که در شبکه، اینترنت، میکروتیک و امنیت تجربه کافی دارن تقاضای همکاری در جهت رفع این مشکل رو داریم .
هزینه انجام کار توافقی
با تشکر
در خصوص اتک های UDP کارتون کمی سخت میشه؛ عملا فایروال به کار شما نمیاد؛ چون اتک نیازی نیست به سرور شما برسه
Internet > Datacenter >Firewall > Server
همانطور که میبینید اتک ها اول به دیتا سنتر شما می رسند و بعد به فایروال و بعد به سرور؛ فرض کنید حجم اتک فقط 100Mbps باشه، یعنی 6000 مگابیت در دقیقه و 360.000 مگابیت در یک ساعت!
حتی اگه سرور شما خاموش باشه این ترافیک در ساعت از طریق آی پی شما وارد دیتا سنتر میشه و همانطور که در جریان هستید دیتا سنتر برای ترافیک هزینه می پردازند؛ پس عملا چاره ای به جز محدودکردن آی پی شما به اینترانت ندارند؛
نیاز به دیتا سنتری دارید که ترافیک و پهنای باند بیشتری در قبال هزینه بیشتر در اختیاز شما بگذارد
mohammaddj879
August 9th, 2015, 19:24
در خصوص اتک های UDP کارتون کمی سخت میشه؛ عملا فایروال به کار شما نمیاد؛ چون اتک نیازی نیست به سرور شما برسه
Internet > Datacenter >Firewall > Server
همانطور که میبینید اتک ها اول به دیتا سنتر شما می رسند و بعد به فایروال و بعد به سرور؛ فرض کنید حجم اتک فقط 100Mbps باشه، یعنی 6000 مگابیت در دقیقه و 360.000 مگابیت در یک ساعت!
حتی اگه سرور شما خاموش باشه این ترافیک در ساعت از طریق آی پی شما وارد دیتا سنتر میشه و همانطور که در جریان هستید دیتا سنتر برای ترافیک هزینه می پردازند؛ پس عملا چاره ای به جز محدودکردن آی پی شما به اینترانت ندارند؛
نیاز به دیتا سنتری دارید که ترافیک و پهنای باند بیشتری در قبال هزینه بیشتر در اختیاز شما بگذارد
خب چطوری سایت های بزرگ و حتی بعضی از دیتاسنتر های ایران مشکل داون شدن سرورها رو ندارن ؟
حتی اتک های زیادی هم صورت میگیره ولی سرور هیچیش نمیشه . مگه اونا هم هزینه پهنای باند رو نمیدن ؟
yastheme
August 9th, 2015, 19:40
خب چطوری سایت های بزرگ و حتی بعضی از دیتاسنتر های ایران مشکل داون شدن سرورها رو ندارن ؟
حتی اتک های زیادی هم صورت میگیره ولی سرور هیچیش نمیشه . مگه اونا هم هزینه پهنای باند رو نمیدن ؟
هیچ سایتی در ایران در خصوص حملات udp بزرگ مقاوم نیست؛
در خصوص دیگر حملات نیز چه بخواهند و چه نخواهند باید این ترافیک را بر روی آی پی خود داشته باشند تا آی پی از اینترنت نیز قابل دسترس باشد؛ حالا اینکه کلا ترافیک udp را از زیر ساخت برایشان غیر فعال می کنند یا اینکه هزینه آن را می دهند و .. من در جریان نیستم؛ باید از افرادی که در ایران سرور می فروشند و با دیتا سنتر ها همکاری می کنند سوال کنید.
البته تمامی این موارد فقط مربوط به ترافیک udp می باشد؛ به جز dns ؛ اصولا در حالت عادی برای وب سایت ها اصلا نیاز به ترافیک udp نیست.
Zimaserver
August 9th, 2015, 20:26
در صورتی که به روتر دسترسی داشته باشید میشه کاملا جلوش رو گرفت
mohammaddj879
August 9th, 2015, 20:27
در صورتی که به روتر دسترسی داشته باشید میشه کاملا جلوش رو گرفت
منظورتون دسترسی فیزیکی هستش ؟ با فایروال سخت افزاری ؟
Zimaserver
August 9th, 2015, 20:35
دسترسی که بشه یک سری لیمیت ها و محدودیت هایی رو برای کسانی که به آی پی شما وصل میشن گذاشت
شما در صورتی که روتر رو لیمیت کنید حالا از هر نظری مثلا ترافیک ارسالی و دریافتی 1 کاربر قادر به جلوگیری از اتک خواهید بود
mohammaddj879
August 9th, 2015, 20:53
دسترسی که بشه یک سری لیمیت ها و محدودیت هایی رو برای کسانی که به آی پی شما وصل میشن گذاشت
شما در صورتی که روتر رو لیمیت کنید حالا از هر نظری مثلا ترافیک ارسالی و دریافتی 1 کاربر قادر به جلوگیری از اتک خواهید بود
ممنون .
می تونید کانفیگ های لازم رو با تضمین مقابله با این حملات انجام بدید ؟
اگر بله، پ.خ ارسال بفرمایید بیشتر صحبت کنیم .
Zimaserver
August 9th, 2015, 22:15
شما از جایی که سرور گرفتید باید درخواست کنید تا محدودیت ها رو روی روتر بزارند