Доброго времени суток.
Недавно наша служба опроса зафиксировала огромное количество подключений модемов без идентификации, которые сразу после подключения отключались. Были ли это настоящие модемы или же это была ддос атака доподлинно неизвестно, но это привело к выходу из строя вообще всей нашей системы. Поэтому хотел спросить есть ли у лэрса какие-то встроенные методы защиты от подобного? или что вообще можете порекомендовать по этому поводу?
используйте vpn. Арендовали за 200р/мес сервак под vpn и в фаерволе запретите доступ к портам опроса из внешей сети.
П.С. обратитесь в милицию, приложите логи атаки - иногда помогает.
Нет, встроенных средств нет. Первое, что приходит на ум - сделать между службой опроса и внешней сетью прослойку в виде nginx с обратным прокси ngx_stream_core_module и ограничить количество запросов.
Реальные модемы не должны подключаться чаще чем раз в пару минут.
А как тогда подключатся модемы? Они же во внешней сети.
ну на моей практике любой модем(даже ассв) умеет в vpn.
У нас на роутере (Mikrotik) к tcp портам, предназначенным для подключения gprs модемов разрешен доступ только с ip адресов оператора сотовой связи нашего региона.
Решение имеет недостатки, но свою функцию по защите от подобных атак выполняет хорошо.
Интересное решение.
А это сообщает ТП оператора связи?
Нет, такую информацию не сообщают.
Я делал так: смотрим статистику GPRS в ЛЭРС - там есть IP, с которых подключаются модемы.
Далее например на xseo.in указываем IP и получаем ASN провайдера, и подсети ему принадлежащие - их добавляем в белый список роутера.
Далее я оставил на некоторое время логирование на роутере при попытке обращения с IP адреса не из белого списка - посмотрел эти логи, проверил что все наши модемы успешно подключаются и отключил логирование дабы не нагружать роутер.
Как вариант еще можно найти базу российских IP и разрешить доступ только с них, все равно большинство атак идут с зарубежных IP
Спасибо за дельные советы, но у нас оказалось все намного проще.
Как оказалось если Элдисовский модем удалить с сервера ЛЭРС, не подчистив при этом подключение с адресом сервера в самом модеме, то он может начать долбиться в службу опроса, создавая около 100 подключений в секунду. Поэтому мы просто попросили у службы поддержки Элдис отключить от нас эти модемы.