Уважаемые! нужна помощь.. У меня есть небольшая сеть, есть сервер-шлюз, через который осуществляется доступ к инету с любого компа сети.. На серваке стоит Win2003. Сервер планомерно ддосят, фаер иногда не справляется, изза чего вся сеть периодически ложится в даун( Вот лог фаера: Code: 12:59:14Обнаружена атакаОбнаружено сканирование портов с адреса 207.44.200.61 (порты: UDP (1501, 1448, 1249, 1218, 1178, 2831)) 12:59:10Обнаружена атакаОбнаружено сканирование портов с адреса 205.145.128.14 (порты: UDP (1530, 1428, 1197, 1152, 2685, 2680)) 12:56:59Обнаружена атакаОбнаружено сканирование портов с адреса 69.73.132.227 (порты: UDP (2546, 2524, 2266, 2228, 1963, 1674)) 12:56:49Обнаружена атакаОбнаружено сканирование портов с адреса 66.179.175.2 (порты: UDP (2271, 2259, 2235, 1804, 1800, 1669)) 12:56:19Обнаружена атакаОбнаружено сканирование портов с адреса 216.9.160.10 (порты: UDP (1802, 1761, 1589, 1377, 1335, 2005)) 12:55:54Обнаружена атакаОбнаружено сканирование портов с адреса 66.80.130.23 (порты: UDP (1586, 1380, 1857, 1085, 1736, 1720)) 12:55:23Обнаружена атакаОбнаружено сканирование портов с адреса 216.195.48.10 (порты: UDP (1076, 2005, 1733, 1490, 1714, 1265)) Кто может посоветовать надежные методы защиты? Какой фаервол посоветуете?
Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.
Я выкладывал в этой теме https://forum.antichat.ru/threadnav46582-2-10.html книги по Windows 2003 Server, думаю пригодятся.
хм.. Аутпост+функция блокирования подсети злоумышленника из-за сканирования портов? Если запросы идут на определенный порт - блокировать его, по логу видно что идет udp-флуд, заблокировать udp-трафик если некритично?
Всё равно стопроцентной защиты от доса не добиться... Фаервол тут не при чём... И блокировка сети злоумышленника при досе - детский лепет, оно имеет определённый смысл при планомерных атаках... Канал всё равно будет просидать... Единственный метод как водится - сигнатурный и статистический анализ трафика... Но даже он имеет эффективность только по мере приближения к источнику атаки... В общем, чтобы искоренить дос, нужно аппаратное решение на уровне маршрутизаторов, причём маршрутизаторов провайдеров верхнего уровня... А так, в твоей ситуации - единственный метод защиты - уклонение от атаки, т.е. выбивай у начальства баблосы, организуй резервный шлюз и т.д.
А ты не пробовал поставить перед сервером-шлюзом поставить слабенький компик на никсах с мощненьким фаером? Нафига козе баян ... эээ то есть зачем тебе вообще UDP порты? На крайняк только 53 может пригодиться! Настрой грамотно на этом компе-фаере ipfw или iptables (это уже дело вкуса, я бы все же на фре поднимал) и руби к черту все "левые" запросы. Сервак у тебя разгрузиться "мама не горюй". А ДДОСерам останеться толдько 80 ну и может быть 53 порты.
