@SayfaNet;
mikrotik ile işin engelleme tarafını yapmayı düşünüyordum,DNS sunucusuna belirttiğim dnslere gelen talepleri yakalayıp, nodejs veya php ile mikrotik aracılığı ile izinverilenler adındaki listeye ekleyeceğim geriside zaten mikrotikin işi. Ancak saldırı anında yükü bölme amaçlı dns sunucusunu farklı bir konumda tutmayı düşünüyordum.
Ek olarak siz bu konuda tecrübelisinizdir. Subnet şeklinde veya ip bazlı,ek olarak direk protokol kapatabileceğim(sanırım bunu çoğunda yapabilirim) 2-3gbit atak altında(UDP) sorun cıkartmayacak bir layer3 switch tavsiye edebilirmisiniz. Api sistemide olursa tadından yenmez , firewall gibi kullanacağım ancak sadece ip engelleme için, paket boyutuna vs göre filtreleme olmayacak
@PROOYUN; cliente kendi dns sunucumuzu kullandırmak ölüm olabilir pek çok kişininde buna yanaşacağını sanmıyorum,öneri için teşekkürler
2-3 gbit dns saldırısını önlemek amacıyla sormuşsanız,
routerdan sflow çıktısını alıp
ayıklayıp
routerda ACL - erişim kuralı oluşturup güncellemeniz gerek.
diğer yöntem ise, security gateway olarak adlandırılan juniper srx tarzı ürünler kullanmak. mikrotik'in şişebileceği "şu kadar saniyede şu kadar bağlantıdan fazlasına izin verme" gibi görevleri yerine getirir.
size saldıran 300 bin tane ip adresi varsa, bunları tek tek engellemeniz mümkün değil. genel bir kural üzerinde çalışmanız gerek. sadece belli udp portlarına izin vermek, adsl iplerinden dns sorgusu kabul etmemek, spamhausdaki kara listeleri kullanmak, rdns kaydı olmayan ipleri reddetmek gibi.