от седмица се загледах, че цъфват такива пакети в големи количества на легитимни портове (да кажем http, smtp).
не правят нищо особено, трафика също не е впечатляващ.
барнах си филтрите да ги детектвам такива досадници и да ги украсявам още на входа с негостоприемно поведение.
натрупаха се към 50 клас С мрежи, всичките свързани със залагания. явно си общуват помежду си, защото като се пореже една мрежа, след 5-10 минути цъфва същия флуд от друга.

теоретично, след някакъв обозрим период от време, ще си направя списък с всички от тази индустрия, които са ми досаждали.
но не схващам 'фишката' да го правят, д'ет са вика.

Да не би да искат да минат ниско под радара - тук https://javapipe.com/blog/ddos-types/ ?
"IP Null Attack - Packets contain IPv4 headers which carry information about which Transport Protocol is being used. When attackers set the value of this field to zero, these packets can bypass security measures designed to scan TCP, IP, and ICMP. "

вече преминахме на атаки от облаците.
верно, облаците са с някакви мъгливи произходи и собствености, но имам малко колебания да отрежа двайсетина мрежи с маска /18

Сериозният бизнес, като правило, не ползва облачни услуги, колкото и обещаващи да са те.
Дори не ползва Интернет, като среда за пренос.

Явно си много далеч от сериозния бизнес. Точно той ползва облачни услуги, колкото и да ти изглежда странно.

Щом казваш...

Не е зле да се поинтересуваш, колко струва доставката на един Vlan за който доставчикът ти гарантира, че не ползва "обществен транспорт", колко струва един dark fibre, що е това нещо "corenet" и колко струва да го ползваш.........
Да си чувал за това FBI, CIA или някоя сериозна банка да се бекъпва в облаците?

и тогава пак опитай с дефиниции на тема "сериозен бизнес".

По думите на един юнак занимаващ се с подобни неща, към голяма фирма предоставяща подобни услуги, тая "мода" с облаците отмирала.
Сметката показвала, че ако услугата се използвала за по-дълъг период, е по-изгодно да наемеш сървър или да имаш свой такъв.

това (за облаците) е друга приказка. въпрос на вкус (казало кучето и си облизало задника)

описания по-горе флуд надали касае сървъра къде се намира, дали е реално желязо или виртулка.
става въпрос за неимоверно много пакети от неимоверно много IP-та за няколко секунди, като пакетите са с големина 0.
ако идеше реч за 'нормален' порт-скан, сканиране от едно (или няколко) IP-та би било обяснимо. но защо е тази масовка?
че са и упорити - местят се по мрежи, които май не се ползват за реални цели.
последно от alicloud (на тяхно име се водят десетина клас В мрежи / ~160K IP-та)
при средна цена $10 на IP, надали някой е загрухал 2 милки само за да си флудва...

Преди време участвах в един съвместен проект със сродни европейски институции. Доста трябваше да задълбая на тема гласова автентикация. Влязох в контакт с една израелска фирма , Nuance (ако не ме лъже паметта). Правихме тестове и пр. и накрая се оказа, че услугата може да бъде само "облачна" и никаква друга.
Автоматически нещото бе отхвърлено заради политиките за сигурност на въпросните институции.


Боре, да отсвирваш цели мрежи не ми се види, като да е добрия подход. По добре мисли за читав firewall. Cisco ASA и firepower успешно борят подобна напаст.

Имах възможност да разработвам (все още разработвам дори) разни инструменти в облачна платформа за големи фирми в БГ и извън, та да, сигурен съм че ползват. Освен това облак != ремуут сторидж. ЦРУ или ФБР далеч не ме интересуват, ниго ги смятам за "сериозен бизнес". Фирми въртящи милиони и имащи стотици служители си ползват облачни услуги.

Не отричам безспорните предимства на "облаците".
Те могат само да ти гарантират това, че информацията ти няма да се затрие. Не и това, тя да не бъде компрометирана.

Очевидно имаме различно схващане за израза "сериозен бизнес".

Облаци ... основната им полза е цената а всичко друго е компромис.

ако искате да си обсъждате ползата и файдата от облаците, направете си друга тема!


принципно, проблема е не-борИм на ниво firewall. така или наче пакета ти цъфва на входящия интерфейс.
как ще го сдъвче firewall-а може и да има значение, но трябва да го сдъвче някак. още повече, подобни пакети (да кажем с флаг SYN) са легитимни и да филтрираш само по големина '0' очевидно не е коректно.
не виждам с какво комерсиален firewall ще ми помогне, особено ако иде реч за контрол тип 'черна кутия'.
може би единствената полза от такова решение е, че то върви с някакъв абонамент към ъпдейти на списъци (с мрежи), за които някой се е погрижил да ги обяви за низвергнати. ако имаш други функционални съображения за предимства на купен firewall срещу самосварен, с радост ще ги чуя.


мрежите за онлайн залагания няма да ми липсват, ама въобще.
за другите се спрях да ги ограничавам, поне за сега. очевидно обаче има някаква свързаност между тях, поне на ниво прехвърляне на информация какво да флудят.

за сега не пречат, не правят трафик, демоните не ги отразяват тези пакети и не се товарят.
дали обаче това не е потенциал за бъдеща атака? ако почнат да флудят с по-големи пакети, очевидно ще запушат всеки канал и ще те принудят да се местиш зад някаква облачна защита от типа CloudFlare. което вече си намирисва на кофти бизнес/рекет.

Основните предимства на купения firewall ти вече ги посочи - ъпдейтите. Демек плащаш си за да не се занимаваш собственоръчно.
Другото предимство е в това, че той обикновено има малко по-интелигентно поведение и като така е способен да корелира събития и да прави "умозаключения". Така един иначе легитимен пакет, може да се окаже част от нелегитимно действие и то да бъде парирано. Респективно определени адреси или мрежи могат да бъдат динамично отствирвани.
Разбира се при цялата тая сложнотия се случват и грешки. Т.е - да се резне нещо, което не трябва.


Прав си и за това, че от флууд, локално спасение - няма. Тук идват на помощ читавите доставчици. Те предлагат възможност да си конфигурираш защитите при тях и така да избегнеш препълването на твоя канал.

Както и да е. И в случая, решения има, въпросът е, колко си готов да заплатиш.

e, не съм готов въобще да заплащам на интернет сот-аджии...

предполагам директно стъкло към BIX (примерно) ще ми реши въпроса с 'читавия доставчик' и разговора на къси вълни/бира с разбиращите хора.
но ми е далеч от бюджета. затова се задоволявам с по-малко читави доставчици, които основно ме питат дали 'телевизорчетата ми мигат'... (БТК примерно)
то VLAN-ове не можеш да договориш да ти тагнат, за DDоS ще трябва да си взема отпуска.

едната ми оптика, като падна, ми казаха, че по общите условия имали 72 часа да я оправят. е, не бяха 72, но бяха над 60...
оказа се, че си препачвали някакъв панел и дясната ръка не казала на лявата какво къде са насплайсвали. основното време мина докато стигна до правилния човек, който изпсува и след 5 мин всичко се оправи. та въпроса за 'читави' и 'не-читави' се свежда до това доколко са ти къси вълните до правилния човек.