Как защитить маршрутизатор и серверы, расположенные за ним от DDOS атак? Поделюсь своим опытом борьбы с DDOS атаками.
Применить стандартные правила все запрещено на сети к сожалению не удается, так как серверы все-таки должны быть доступны извне. Поэтому используется схема все, что не запрещено - разрешено, остальное - бросаем в черную дыру.
Пункт первый - борьба со сканерами сети. Ресурсы маршрутизатора не безграничны, поэтому первым делом определяем список IP адресов, которые могут быть доступны извне. К неиспользуемым адресам все запросы сбрасываем.
Пункт второй - создаем динамический список слишком прожорливых. Сбрасываем в него IP адреса тех, кто шлет много запросов разом. При этом строим таблицу соответствия, с какого стороннего IP на какой из наших идет нагрузка.
Пункт третий - баним всех по этому списку, проверяя раз в некоторое время, не одумались ли на той стороне. Не забываем исключить из списка ответы на наши запросы, к примеру на DNS и другие нужные нам порты.
Пункт четвертый - разрешаем трафик с наших адресов без ограничений - мы то не атакуем никого, а вот контент отдавать надо с максимально возможной скоростью.
Пункт пятый - радуемся низкой нагрузке на каналы, роутер и сервера.
Обращайтесь за роутерами и настройкой к нам, поможем!
