Дата:2011-01-10
При выборе тарифа многие организации в первую очередь смотрят на стоимость и скорость, рассчитывают примерный трафик необходимый им ежемесячно и в большинстве случаев выбирают лимитированный интернет, когда в ежемесячную абонентскую плату включено определенное количество трафика, а дальше идет по мегабайтная оплата.
Но не стоит забывать о такого рода атаках как UDP флуд или другого рода атаки, нацеленные либо на полное блокирование канала либо с заметным уменьшение скорости интернета. В результате в конце расчетного периода организации получают огромные счета за интернет и хорошо если атака была обнаружена в первый день. Давайте подсчитаем: в день могут при помощи udp флуда, накрутить на организацию порядка 100 гб и при стоимости 1гб в 300р получим 30тыс за день, а если это длиться не один день и организация этого не замечает.
Так же не забываем о том, что трафик может исходить из какого-либо компьютера в сети в результате вируса и др.
Что же следует делать, если от вас не исходит трафик?
1) Иметь статистику от вашего поставщика услуг и если вы обнаружили скачек, необходимо сразу обращаться к провайдеру.
2) Если, не прекращающийся, скачек обнаружен, то следует отключить ваше оборудование, проверить статистику если продолжает расти трафик, то шлюз провайдера по прежнему принимает для вас пакеты и учитывает их. В этом случае звоните провайдеру, добивайтесь фиксации того, что при отключенном вашем оборудовании трафик продолжает расти, после фиксации и устранения, со стороны провайдера, атаки скорее всего придется писать претензию по трафику и говорить, что трафик был паразитным.
Как можно определить атаку у себя на сервере?
1) Запустить снифер, например tcpdum и смотреть большие пакеты приходящие к вам.
2) Запустить vnstat -tr - данная команда будет подсчитывать скорость канала и если она зашкаливает, то пакеты все ж добрались до вас и необходимо блокировать их на своей стороне.
3) Поставить систему обнаружения вторжений.
4) Если vnstat -tr не показывает большой активности, а трафик на счетчике провайдера продолжает расти, то ваш сервер блокирует эти пакеты, но шлюз провайдера принимает их для вас.
По хорошему, все провайдеры должны ставить у себя системы обнаружения вторжения и блокировать подобного рода атаки, не дожидаясь, когда клиент сам обнаружит их, или счет на внушительную сумму.
Не стоит забывать, что если Вы не докажите момент паразитного трафика, то скорее всего провайдер ответит словами про свое сертифицированное оборудование и скажет, что этот трафик ваш.
Количество просмотров: 5585
Комментарии к статье:
Добавить комментарий