Skocz do zawartości
Gość

BGP Blackholing - jak to wkońcu jest?

Polecane posty

Gość

Cześć,
Mam dedyka w pewnej firmie, już nie będę pisał gdzie bo pytanie mam ogólne, support powiedział mi że nie mogą dodawać wyjątków (w co trudni mi uwierzyć), że nie ma możliwości w trakcie trwania ataku odblokowania np. ruchu z USA. Czy to prawda?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To co chce Pan zrobić to jest tzw. Country Block. Czyli wycięcie określonych krajów z wyjątkiem dla t.flow X-Country. A to można rozwiązywać na kilka sposobów np. na podstawie maxmind.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To co chce Pan zrobić to jest tzw. Country Block. Czyli wycięcie określonych krajów z wyjątkiem dla t.flow X-Country. A to można rozwiązywać na kilka sposobów np. na podstawie maxmind.

Najpierw trzeba mieć do tego możliwości.....

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

To co chce Pan zrobić to jest tzw. Country Block. Czyli wycięcie określonych krajów z wyjątkiem dla t.flow X-Country. A to można rozwiązywać na kilka sposobów np. na podstawie maxmind.

 

 

Mój usługodawca mówi że się nie da, dlatego pytam tutaj. Z tej odpowiedzi wywnioskowałem tyle, że jednak się da. Czy jest to aż tak skomplikowane że firma nie chce tego zrobić? Powiedziałem im że mogę za to dopłacić jednak upracie twierdzą że się nie da.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

się da ;)

 

 

Czyli że standardowo lecą w bambusa, ajj... z tą firmą to same ciekawe przygody. Nic się nigdy nie da :P

 

Dogadał się ktoś kiedyś z minstem w takiej sprawie?

 

Zauważyłem że pomyliłem działy, jeśli można to proszę kogoś o przeniesienie.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tylko widzisz może nie mają technicznych możliwości z powodu konfiguracji jednej z tych dziwnych lub że tak to ujmę wiedzy by to wykonać ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

Tylko widzisz może nie mają technicznych możliwości z powodu konfiguracji jednej z tych dziwnych lub że tak to ujmę wiedzy by to wykonać ;)

 

Czyli za dużo z tym nie zrobię jak rozumiem, zmiana hostingu/tunelowanie nie wchodzi w grę bo zmieni mi się IP a hostuję serwery gier. Może jednak ktoś miał takie przygody i dogadał się z mintsem, może jednak mają możliwość? :)

 

Widzę że jakiś pracownik z tej firmy przegląda temat, jednak się nie wypowie :P

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To nie tak że nie zrobisz może jest możliwość jakiegoś rozwiązania dedykowanego w tej firmie. Pisząc o konfiguracji z serii tych dziwnych mam na myśli głównie fakt że wiele firm zawęża grono co do konkretnych lokalizacji w celu ochrony struktury sieciowej. Urządzenia tego typu do tanich nie należą więc w wielu przypadkach ograniczeniem może być sam sprzęt lub w najgorszym scenariuszu wiedza. To ostatnie na całe szczęście łatwiej zmienić niż to pierwsze lecz często nie działa w parze już z istniejącymi możliwościami sprzętowymi.W kilku słowach jak to ktoś powiedział w miarę jedzenia apetyt rośnie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiele firm blackholuje adresy na poziomie peerów. I wtedy istotnie, nie da się wybrać selektywnie prefiksów które dany peer ma przepuszczać.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Prawdopodobnie mowa jest o SDC gdzie jest dokładnie tak jak napisał kafi. Blackholingowi podlega tutaj konkretne łącze po którym idzie atak. Jeżeli atak jest np. z plix-a to wycinają ruch z plix-a na Twoje IP bez sprawdzania czy ruch pochodzi z USA czy z Indii, czy z Wietnamu. Skoro nie ma takiego sprawdzania to i też nie ma w tym przypadku możliwości wykluczeń dla poszczególnych państw.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Prawdopodobnie mowa jest o SDC gdzie jest dokładnie tak jak napisał kafi. Blackholingowi podlega tutaj konkretne łącze po którym idzie atak. Jeżeli atak jest np. z plix-a to wycinają ruch z plix-a na Twoje IP bez sprawdzania czy ruch pochodzi z USA czy z Indii, czy z Wietnamu. Skoro nie ma takiego sprawdzania to i też nie ma w tym przypadku możliwości wykluczeń dla poszczególnych państw.

 

 

i tak i nie.

 

ogólnie jeżeli chodzi o SDC to porponowałbym napisać do nas na serwis, przedstawić sytuację (kto jest odcinany w trakcie ataku, co jest hostowane, jaka jest specyfikacja ruchu) a utworzymy profil. Mamy pod sobą kilku sporych graczy (hostingowni gier) i oni mają taki profil.

 

Część z peerów udostępnia kilka profili blackholingu, np częściowy (wycięcie najczęstszych źródeł zombiaków - głównie za granicą)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Może przy okazji wytłumaczysz mi dlaczego w świecie gier i TS3 istnieje jakaś dziwna tendencja, by nie ułatwiać sobie życia korzystając z nazw domenowych?

 

To proste, podam przykład. Jest sobie serwer CS, na forum reklamowany jako cs.forum.pl. Część graczy wchodzi przez forum, część graczy wyszukuje serwer w "Internet" w kliencie gry przez co nie ma pojęcia o adresie cs.forum.pl i zna sam adres IP. W związku z tym nawet przy adresie w domenie zostanie utracona duża część graczy przy każdej zmianie adresu IP.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

 

Ok, to już ma sens. Aczkolwiek nadal uważam, że nie jest to problem którego nie dałoby się rozwiązać poprzez odpowiednią komunikację z graczami, np. przez bannery, MOTD czy reklamę.

 

Swoją drogą, to nawet jeśli ja tego nie rozumiem to nie zmienia faktu, że ludzie tak już robią, że zapamiętują IP. A to głupota, nazwy domenowe to duże ułatwienie, tylko ludzie tego nie rozumieją.

 

Szczerze? Ja jako "niedzielny" gracz mam gdzieś jakie jest ip. Wchodzę albo na serwer który znam (bo mam 5-10 w ulubionych) lub wybieram z tych ulubionych gdzie jest między 5 a 20 graczy, ale zawsze jest to w miarę stała lista serwerów. Koledzy robili to samo. Później i tak wchodzi jeden za drugim jak jest kilka osób do gry.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja widzę też inną tendencję - patologię wręcz wśród graczy,

 

WSZYSTKIE usługi na jednym adresie IP, tysiąc serwerów na jednym adresie IP, idzie atak (lub czkawka 1 ping bo filtr się załączył) i zdziwienie, że wszystko wywaliło.

 

 

i jak dla mnie latwiejsza do zapamietania jest domena niż adres IP.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale przecież nie problem z domeny wyciągnąć IP czy się mylę?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

bjN, JakubC prawdopodobnie miał na myśli to, że usługi powinny być uruchamiane na kilku adresach IP aby uniknąć problemów przy atakach na jeden adres i nie sugerował aby posługiwać się domeną po to aby utrudnić atakującemu rozpoznanie IP serwera.

Edytowano przez Suspect121 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

bjN, JakubC prawdopodobnie miał na myśli to, że usługi powinny być uruchamiane na kilku adresach IP aby uniknąć problemów przy atakach na jeden adres i nie sugerował aby posługiwać się domeną po to aby utrudnić atakującemu rozpoznanie IP serwera.

 

dokładnie to.

 

I zazwyczaj atakowany jest jeden serwer jakiegoś tam counter strike więc w przypadku bh pozostali klienci też dostają po tyłku ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

dokładnie to.

 

I zazwyczaj atakowany jest jeden serwer jakiegoś tam counter strike więc w przypadku bh pozostali klienci też dostają po tyłku ;-)

 

 

Klient ma dedyka wiec ma dedykowany adres ip i swoją nitke do switcha - to ile odpala usług na serwerze to jego sprawa i nie wiem czemu sugerujesz że w przypadku ataku na jeden ip odczuwają to inni klienci co jest kompletną bzdurą.

 

jeszcze w przypadku VPS-a mógłbym dyskutować,ale w przypadku dedyka taki atak jest nieodczuwalny dla reszty - gdyby każdy atak był odczuwalny dla wszystkich klientów to juz dawno by Nas zlinczowali :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Marek607, całkowicie nie o to chodzi. Chodzi o jednego klienta, jeden serwer i jego usługi. Przykładowo klient ma hosting i 100 serwerów gier działających na protokole UDP, działają na jednym IP. Jest atak na protokole UDP, blackholing załącza się na cały protokół UDP i klient płacze bo całość pada i jest niedostępna do czasu zdjęcia blacholingu. W sytuacji gdy usługi rozdzielone są przykładowo na 10 IP, załączenie się takiego blacholingu minimalizuje ten problem. Na przykładzie SDC filtrowanie ruchu jest do pewnego progu po którego przekroczeniu załączany jest blackholing, często właśnie na cały UDP. W Polskich warunkach nikt nie filtruje ruchu np. rzędu 300Gbps, jak przykładowo OVH bo żadna Polska firma nie ma na to wystarczającego budżetu. W przypadku SDC blackholing jest już od kilku Gbps.

Edytowano przez Suspect121 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Klient ma dedyka wiec ma dedykowany adres ip i swoją nitke do switcha - to ile odpala usług na serwerze to jego sprawa i nie wiem czemu sugerujesz że w przypadku ataku na jeden ip odczuwają to inni klienci co jest kompletną bzdurą.

 

jeszcze w przypadku VPS-a mógłbym dyskutować,ale w przypadku dedyka taki atak jest nieodczuwalny dla reszty - gdyby każdy atak był odczuwalny dla wszystkich klientów to juz dawno by Nas zlinczowali :)

chodziło mi inni klienci umieszczeni na tym samym IP.

Niektóre serwerownie (w sensie counter strike nie dedyki) dają na jednym IP kilka serwerów gier (różne tylko porty)

 

o to mi chodziło ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

okej, czyli źle zrozumiałem.

u Nas też do pewnego progu dziala tylko filtrowanie sprzętowe, powyżej niego dochodzi blackholing.

 

Tak jak pisałem - jak klient ma xxx usług na jednym ip to niestety boli go przy ataku i stosowaniu blackholingu , ale coś za coś. Albo placisz za dodatkowe ip, albo ryzykujesz i trzymasz all na jednym.

JakubC, podeślesz więcej info, chociażby na priv o tych profilach czyli gdzie i jak realizowane?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Marek607, całkowicie nie o to chodzi. Chodzi o jednego klienta, jeden serwer i jego usługi. Przykładowo klient ma hosting i 100 serwerów gier działających na protokole UDP, działają na jednym IP. Jest atak na protokole UDP, blackholing załącza się na cały protokół UDP i klient płacze bo całość pada i jest niedostępna do czasu zdjęcia blacholingu. W sytuacji gdy usługi rozdzielone są przykładowo na 10 IP, załączenie się takiego blacholingu minimalizuje ten problem. Na przykładzie SDC filtrowanie ruchu jest do pewnego progu po którego przekroczeniu załączany jest blackholing, często właśnie na cały UDP. W Polskich warunkach nikt nie filtruje ruchu np. rzędu 300Gbps, jak przykładowo OVH bo żadna Polska firma nie ma na to wystarczającego budżetu. W przypadku SDC blackholing jest już od kilku Gbps.

 

tak, jednakże profil załączania filtra ustalamy indywidualnie, nie kazdy musi dostawać standardowy profil

okej, czyli źle zrozumiałem.

u Nas też do pewnego progu dziala tylko filtrowanie sprzętowe, powyżej niego dochodzi blackholing.

 

Tak jak pisałem - jak klient ma xxx usług na jednym ip to niestety boli go przy ataku i stosowaniu blackholingu , ale coś za coś. Albo placisz za dodatkowe ip, albo ryzykujesz i trzymasz all na jednym.

JakubC, podeślesz więcej info, chociażby na priv o tych profilach czyli gdzie i jak realizowane?

 

 

Tutaj dużej filozofii nie ma, po prostu sprzęt / soft anti-ddos zazwyczaj ma możliwość ustawienia reakcji, dla kazdej reakcji masz progi. Reakcją może być np zmiana community u operatorow (blackholing, partial blackholing) lub przekierowanie ruchu na filtr.

 

Definiujesz anomalię np pakiety udp o danej specyfikacji (ilosc, rozmiar, zrodlo - wszystko wrecz)

 

Nie oszukujmy się, ale filtrowanie ataków powyżej 20Gbit (jednym operatorem) jest dla Polskich DC nie tylko nie opłacalne pod wzgledem infrastruktury ale także np opłat za transfer (gdzie w PL transfer jest drogi..), bo filtr jest już w DC a więc OP musiał pchnąć ten traffic ;-), nie wspominając o ekhm.. mentalności graczy

 

OVH? no mogą się bronić skoro część trafficu to oni sami :D

 

Edytowano przez JakubC (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×