Salutare, sper ca nu am gresit sa scriu acest subiect. Detin cateva servere si doresc sa imi protejez reteaua si serverele . Aveti idee ce DDoS pot folosi, ce software pot folosi pentru a crea un server doar de filtrare traficul neplacut? Din intelese, pot sa instalez pe un Server un Software, de Firewall sau DDoS, care va trece din Router in Serverul ce trebuie sa-l fac DDos si din el iese alt port SFP si duc traficul curat in Switch etc…
Ce imi recomandati? O idee?
Am uitat sa precizez, eu practic doresc sa fac urmatorul lucru:
Cu reteaua de la ISP1 si ISP2 sa trec prin Router-ul A care acel Router sa fie atat de BGP cat si DDoS . Dupa care din Router A sa conectez in switchurile 1.2.3.4…etc
Pentru ca daca intru direct in Router A de la ISP1 Si ISP2, degeaba configurez un server DDoS dupa conectarea la router, pentru ca ar fi egal cu 0 
Deci prima Doresc sa configurez Routerul ca BGP + DDoS,si ulterior ma conectez in Switch-urile prezente. Vroiam sa stiu ce software sa pot folosi pentru Router ca si DDoS. Gresesc undeva? Corectati-ma.
cred ca in primul rand trebuie sa inveti ce inseamna ddos. vrei sa folosesti un firewall sa te protejezi de ddos (si alte tipuri de atac). depinde de ce tii pe serverele alea, dar daca ai intentia sa le expui public (sau , si mai rau, sa vinzi servicii) probabil ar trebui sa cauti pe cineva care stie ce face, nu sa intrebi pe forumuri ce ddos sa folosesti. daca le folosesti privat e relativ simplu de rezolvat. cred ca ipt-ul ar trebui sa-si faca treaba decent.
ps: depinde pe cine superi. cunosc persoane care au pus in cur provideri mari.
Cred că cel mai simplu e să folosești un serviciu gen Akamai sau CloudFlare. Ei o să funcționeze ca proxy între serverele tale și clienți și au posibilitatea și resursele necesare să se lupte cu așa ceva.
Cred că orice ai face tu personal (servere, firewall-uri etc) e degeaba dacă ISP-ul sau datacenter-ul nu sunt bine puse la punct.
Companiile gen Akamai și CloudFlare au mult mai multă experiență când vine vorba de atacuri și au mult mai multe posibilități de a stopa un atac DDoS. Cel mai probabil pot reacționa și mult mai rapid.
Ah, și e și foarte simplu de setat.
Pai am cerut o opinie ce sa folosesc. Deci ce-mi recomanzi?
s-a spus mai sus, cloudflare sau akamai. eu personal folosesc cf. doar ca am uitat de el
Dacă îți trebuie local există soluții precum Fortinet și Palo Alto Networks, dar e mult mai scump ca și Cloudflare.
Anti-ddos-ul din firewall-ul local nu te protejează de un atac extern peste n conexiuni sau 10 Gb/s, dar îți monitorizează întreg traficul în rețea și poți crea rețele virtuale cu el. Un ddos profesional e de obicei o mascare a unui alt atac pe un exploit/0-day/phishing campaign/inginerie socială ca să te țină departe de serverul tău ca să nu vezi ce fac și să poată șterge urmele sau să se folosească de naivitatea userilor. Mai sunt și botneti folosiți de unii ca să îți suprasatureze serverele/fure resurse de care n-ai avea nevoie umfland factura.
Pentru ISO 27001 îți trebuie un firewall la nivel de rețea.
Cloudflare oferă și firewall la nivel de rețea cu VPN și un proxy cu firewall aproape imposibil de dat jos. Dar cred că acum nu mai e gratuit.
Ar mai fi optiunea de firewall hardware + ceva subscriptie. Eu recomand CheckPoint ca solutie > made in Israel. 
Am uitat sa precizez, eu practic doresc sa fac urmatorul lucru:
Cu reteaua de la ISP1 si ISP2 sa trec prin Router-ul A care acel Router sa fie atat de BGP cat si DDoS . Dupa care din Router A sa conectez in switchurile 1.2.3.4…etc
Pentru ca daca intru direct in Router A de la ISP1 Si ISP2, degeaba configurez un server DDoS dupa conectarea la router, pentru ca ar fi egal cu 0 Deci prima Doresc sa configurez Routerul ca BGP + DDoS,si ulterior ma conectez in Switch-urile prezente. Vroiam sa stiu ce software sa pot folosi pentru Router ca si DDoS. Gresesc undeva? Corectati-ma.
https://www.netsafe.ro/fortinet/fortigate/ sau FortiDDoS - Fortinet DDoS, protectie DDoS de la Fortinet, protectie ddos, preturi si modele FortiDDoS e o solutie buna, posibil cea mai buna daca te uiti la ultimele modele pentru ce vrei.
Desigur e si destul de scumpa, dar nu-ti imagina ca poti face un firewall bun pentru DDOS cu un server normal si linux/freebsd cu pfSense (e bun daca iti trebuie un firewall ca sa blochezi cate ceva ocazional). Forti sau Palo Alto folosesc ASIC-uri care fac instant ce face procesorul.
Depinde de multe pretul, in special din cauza throughputului. Daca vrei ddos, bgp si firewall toate hardware, m-as mira la ceva solutie decenta sub 10.000€. Poate pe la Fortinet sa gasesti ceva in banii astia.
Since vroiam sa facem noi ceva din server, dar cred ca este mai Profi si mai Garantat sa merg direct pe un Fortigate 7000 E, fiind deja creat pentru aceste situatii. Multumesc de ajutor
Da asa este, am discutat cu Cloudflare si mi-au propus urmatoarea:
Am discutat oferta Magic Transit de mai jos cu Management al meu.
-
10 Gbps 95th percentile clean traffic
-
1 IP Prefix
-
1 Router
-
DNS Firewall
6000 Dolari/luna ( destul de scump) PS: in 2 luni recuperez plata pentru a achizitionat un Fortigate
Dar problema ma cam preocupat fiind ca sigur voi pierde multe pachete pe “drum”,si prefer sa optez pe ceva direct la mine.
Singura soluţie pentru a absorbi un atac DDoS este să ai lăţime de bandă MULT mai mare decât ce trafic poate să producă atacatorul, orice altceva sunt poveşti.
Asta asa e… eu am 10 Gbps, daca vine Dorel cu 11 Gbps, ma pus jos , mai pe inteles.
Cand vine vorba de ddos pe banda exista firewall-uri la nivel de ISP si poti cere sa se uite si ei.
Problemele de care se ocupa firewall-ul tau sunt cand te ataca cineva cu botneti de pe net sau cand scaneaza reteaua de exploit-uri (printr-un dispozitiv intern compromis sau scraper pe net) - nu iti protejeaza banda sau si de o face o sa iti reduca foarte mult viteza si o sa ai latency urias. Iti logheaza tot ce se intampla in retea ca in cazul unui atac tip CD Projekt, adica ransomware sa vezi ce dispozitiv a fost compromis prima data si ce a facut. Poti avea si angajati care iti mineaza crypto in retea si poate nu vrei asta. Poti instala un certificat cu care sa decripteze traficul https in interiorul retelei pe dispozitivele firmei.
Botnetii iti epuizeaza resursele mult mai rapid, in special daca gasesc ceva ce scrie/citeste din baza de date fara cache/load balancing/throttling. Iar banda la fel se epuizeaza de mii de botneti care iti fac doar un request de 1-2kb.
Trebuie avut grija si cu firewall-ul, in functie de ce faci in retea poti sa iti faci dddos la firewall (ii depasesti memoria/stocarea log-urilor supraincarca procesorul) daca treci prin el traficul unui serviciu cu zeci de mii de request-uri pe secunda. De exemplu un zip bomb pus pe un block storage/NAS intre mai multe servere in retea o sa iti puna pe butuci firewallul daca nu il excluzi.
Protectia la botneti se face cu captcha pe o pagina statica la fiecare conexiune si un cookie challange/tarpit.
oO.
@vladut2021 , pana la urma, de ce ai nevoie de asa ceva si care-s temerirle? pt ca am imptesia ca tu vrei sa bagi mii de euro pt a proteja o infrastructura de 2 lei. si in cazul asta protectia ar trebui sa fie de maxim 1 leu.
eu iti sugerez sa nu mai intrebi botii pe net si sa cauti o persoana care chiar se pricepe. eventual sa-ti explice care-s tipurile de atac si cum poti sa te protejezi de fiecare in parte. si inca o chestie, orice solutie ai avea, nu vine cu butoane magice. trebuie sa stii sa faci diferenta intre trafic legitim si atac. si. avand in vedere ca tu intrebi ce server de ddos poti folosi, ma indoiesc ca stii sa faci asta.
Problema e ca atacurile DDOS saturează de obicei limita hardware de pachete pe routerul tau sau lățimea de bandă in portul de uplink la ISP. Iar când e saturata una dintre cele doua, soluția locala hardware anti-DDOS e degeaba.
Trebuie sa ai un router/layer 3 switch care duce multe pachete că sa nu se împiedice la cele mai mici atacuri.
Daca excludem capacități foarte mari de bandă și hardware extrem de scump, o soluție tehnic inteligenta și mai accesibilă este filtrarea distribuită la sursa. Ce face Cloudflare sau Voxility, un furnizor românesc.
Multumesc frumos pentru timpul acordat!