Visitante Postado Dezembro 14, 2014 Compartilhar Postado Dezembro 14, 2014 @Erick Bem interessante. Aqui estamos com diversos ataques, mas todos UDP's e chega a estourar nossa porta 10G por completo. A saida aqui foras com coleta por flow e envio de ip's direto para blackhole da operadora. As vezes não anunciamos para certas localidades da Europa/Asia por um tempo. Você está utilizando full route? Eu aqui estou trabalhando com Cisco 4900M (com 8x 10GigE SFP), ACLs L3-L4 direto no router, e ataques L7 estou filtrando num appliance com FreeBSD + PF_RING DNA. Como eu ofereço serviços de DDoS Mitigation p/infraestruturas, ainda estou testando, mas tem sido eficiente contra alguns L3-L4-L7 (HTTP, HTTPS, SIP, DNS, etc...) 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
cemflinux Postado Dezembro 14, 2014 Compartilhar Postado Dezembro 14, 2014 Sim, estou utilizando tabela FULL com ambas as operadoras. As vezes já venho com a porta sobrecarregada antes mesmo de chegar em meu roteador 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
adrianohf Postado Dezembro 23, 2014 Compartilhar Postado Dezembro 23, 2014 Atendi um cliente tendo mais de 400 requisições por segundo em seu site...depois de 15 dias, consegui unir Mikrotik, CSF Firewall, IPTables e Mod_Security do Apache, consegui um pouco de paz de espírito com isso...porém, é preciso muuuuita pesquisa e conhecimento pra isso, o que nem pra mim depois de ter passado por isso eu recomendaria, prefiro pagar para o Cloudflare mesmo. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
cemflinux Postado Dezembro 23, 2014 Compartilhar Postado Dezembro 23, 2014 @adrianohf O problem é que já venho com a porta no talo (10Gb dos EUA) antes mesmo de atingir nosso roteador. Mas o problema já se encontra resolvido. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
adrianohf Postado Dezembro 24, 2014 Compartilhar Postado Dezembro 24, 2014 @adrianohf O problem é que já venho com a porta no talo (10Gb dos EUA) antes mesmo de atingir nosso roteador. Mas o problema já se encontra resolvido. Poisé...nesse caso fera, o problema é não estar ao lado da sua infra pra por uma RB750GL na frente e fazer um NAT, eu consegui por que tenho link dedicado e os servidores ficam comigo...mas no caso de uma contratação de um servidor dedicado não é possível, aí tem que ver com o datacenter para eles colocarem um Firewall via hardware na frente e ver quanto eles irão cobrar por isso, já tentou com o CloudFlare? 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Visitante Postado Dezembro 24, 2014 Compartilhar Postado Dezembro 24, 2014 Utilizar routers para mitigação de ataques é cavar a própria cova. Eles foram feitos para coisas simples, somente Forward, e não dos / ddos mitigation. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
cemflinux Postado Dezembro 29, 2014 Compartilhar Postado Dezembro 29, 2014 @adrianohf Temos nossa infra própria. ASN, link com três operadoras e uma delas é que vem no talo. Já foi colocado um firewall sim no lado da operadora, bem como não publicação de rotas para algumas localidades em específico. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.