США разработали «цифровую бомбу»...

> ... нам стабильно named кладут, примерно раз в две недели. ... Поскольку мы пров терминирующий, у нас нет транзита, ...

Наличие/отсутствие своего DNS не имеет никакого отношения к транзиту чужого трафика. Эти две категории совершенно не взаимосвязаны.

> ... то есть мысль закрыть файрволом ipfw все запросы, кроме наших сеток (клиентских)

Фиг ли тут думать? DNS для клиентов должен быть закрыт для для доступа из интернета, причём закрыт файерволом, отслеживающим состояние соединения (stateful firewall).

Если есть свои прямые зоны, публикуемые в интернете -- разместить их на DNS-серверах какого-нибудь крупного хостинг-провайдера, который может себе позволить прикрыть их с помощью своей мощной IDS/IPS. И вообще, раз пошла такая пьянка с DDoSами, считаю, что мелкому провайдеру имеет смысл вообще избавиться в своей сети от всех сервисов, которые доступны из интернета и, опять-таки, разместить их у крупных провайдеров. Потому что см. выше про IDS/IPS.

> UPD: Мысль оказалась дурацкой. Наш named держит ещё и нашу зону, и несколько клиентских. Закрываться снаружи просто нельзя. Либо передать зоны на внешние NS, что, учитывая, что мы сами себе провайдер, выглядит несколько нелепо.

За*бут DDoSеры -- будет лепо.

> Платить сторонним NSам за то, ...

Да это какие-то сраные десятки баксов в месяц, не больше. А может, и меньше, я просто цен навскидку не помню. Зато полное отсутствие головной боли с падающим named'ом.

> ... что мы сами для себя делаем забесплатно, никто из генералов не готов.

А на свою IDS/IPS и систему борьбы с DDoS-атаками, они, небось, раскошеливаться тоже не готовы.

> Нет уже той инфраструктуры. В Питере, во всяком случае. Многое уже посрезали и повыдергали.

В Москве уже здания АТС сносят и строят на их местах жильё.

> Как IDS/IPS от DDoSа помогут?

DDoS бывает разный. Первый тип -- на исчерпание пропускной способности аплинка. Тут свой собственный IPS ничем не поможет. Второй тип -- изнасилование уязвимого сервиса хитровыделанными пакетами, приводящими к краху процесса сервиса (демона), либо к его подвешиванию с отжиранием процессорного времени сервера. Вот от такого типа DDoSа IDS/IPS отлично спасает. Смотрим, что за пакет вызывает крах/зависание, и поручаем IPS его фильтровать.

> Подломили при глюке на бордере.

Гхм. Вижу, МСЭ на самом сервере с астериском настроить постеснялись.

> Ну то да, но нонче мало кто хитрыми DDoSами заморачивается, только разве ради искусства. Обычно покупают ботсеть потолще и тупо валят канал.

Ну вот камрад Antic пишет, что у него named регулярно падает. На канал камрад Antic не жалуется, следовательно, если это DDoS, то явно второго типа. Может, конечно, это и не DDoS, просто кто-то счупает его named на предмет уязвимостей с целью вломиться в его сетку, не знаю. Вполне может быть, что камраду Antic'у достаточно будет мигрировать с этого named'а на что-нибудь другое, и проблема будет решена.

> > В модельном ряду Континентов, надо полагать, уже появились и коммутаторы? Всех трёх уровней: ядра, распределения, доступа?

> Тащемто да, ...

Я вот сейчас смотрю модельный ряд этих континентов, вижу в нём только МСЭ+криптошлюзы и в упор не вижу в нём коммутаторов. IPC-3034 со своими 2,5 Гбит/с -- это очень херовая замена коммутаторам, основное назначение которых -- сегментировать сеть на вланы, приоритезировать трафик в них и давать десятки и сотни Гбит/с пропускной способности. Сеть бизнес-центра только на континентах построить нереально.

> Могу только давать умные советы аутсорсерам.

Нагнуть аутсорсеров, допустивших взлом обслуживаемой ими астериски? Пущай возмещают 300 тыс.?

> Аутсорсеров нагнули, да.

Это хорошо. Теперь ещё следует повесить на них 300 тыс., и проблема будет решена ;)

> > > Мигрируй уже бинд с фри на линукс ;)

> > Хорошая шутка :)

> Пингвина сходу проткнут навылет.

Но он не рухнет!!!

> Чёртика хрен пробьёшь. Ну, то есть, можно, конечно, но наоставляв следов при этом.

Но он падает в kernel panic от того, что кто-то пошевелил его грубой рукой за bind9.

> Та же РХЕЛ по умолчанию имеет кучу сетевых дыр.

ArchLinux?

P.S. Кстати. [Подозрительно смотрит] Ты недавно жаловался на необъяснимые падения своего граничного маршрутизатора, который на фре. Сейчас ты пожаловался на то, что у тебя некая машина на фре падает вместе с установленным на нём bind9, когда того ковыряют. Только не пиши сейчас, что это одна и та же машина, то есть, на бордере у тебя установлен named, открытый всему интернету!

> > каналы спецсвязи без всяких цисок у них таки есть

> Там могут быть и циски. Только сеть изолирована от тырнетиков.

ИЧСХ мощному радиосигналу со спутника совершенно всё равно, изолирована сеть от интернетиков, или нет.

> Кстати, а чем поможет вынос намеда за пределы бордера?

Бордер, например, перестанет наворачиваться на ровном месте. Как следствие, количество перерывов связи драматически сократится. Ну и тебе не надо будет ночью бежать ногами до этого бордера, чтобы его поднять. Бинд, несущий вешнюю зону, должен стоять на отдельном железе с IPMI. Тогда, даже если он и упадёт, а) ваши клиенты ничего особо и не почуют, потому что интернет у них никуда не денется, б) можно будет поднять машину с упавшим внешним биндом из дома. Биндов, естественно, должно быть два: один -- внешний, для несения внешних зон и обслуживания запросов из интернета, второй -- чисто кэширующий для ваших клиентов, копии ваших внешних зон на нём размещать совершенно не нужно. Само собой, это должны быть три разных машины: бордер, внешний бинд и кэширующий бинд для клиентов. Впрочем, кэширующий бинд можно и вкорячить на машину, на которой у вас стоит сквид, которым вы пользуетесь для блокировки URL по списку РКН. Только не пиши мне, что сквид стоит у вас на том же бордере!!!

Если смущает количество серверов в этой схеме, все машины с сервисами, кроме бордера, можно виртуализовать, сэкономив на IPMI. Виртуальной машине с внешним биндом ресурсов, скорее всего, много не понадобится.

> Атаковать меньше станут, что ли?

Нет, конечно. Но, ввиду изоляции сервисов друг от друга, увеличится отказоустойчивость всей системы и сократится общее время простоя. Ну это примерно как корабль без переборок и корабль с переборками. Корабль без переборок тонет от единственной пробоины, корабль с переборками худо-бедно плывёт, даже получив одну-две пробоины.

> Адресок-то всё равно из нашего пула будет, иначе как его клиентам сдавать?

Естественно, из вашего. Кстати, кэширующий бинд для клиентов может иметь адрес из немаршрутизируемых блоков адресов, это уже сложившаяся практика среди мелких провайдеров.

> сигнал со спутника в закрытое помещение, да еще и экранированное со всех сил ...

Ну разве что ни одно устройство cisco не будет находиться вне помещений, экранированных заземлёнными медными листами. Да и то, в такие помещения иногда нужно заходить, а для этого нужно открывать дверь, что приводит к размыканию экрана.

> ... защиту от ПЭМИН ...

Насколько мне известно, меры по защите от ПЭМИН, в основном, сосредоточены на том, чтобы не дать утечь информации наружу. Про экранирование от излучений снаружи на неизвестных частотах и кодированных неизвестным способом в этих мерах, вроде, ничего не написано.

> Колебательный контур ихними приблудами обнаружить проблем нет.

Говорят, что колебательный контур характеризуется определённой резонансной частотой. А если искомый сигнал -- существенно широкополосный, и на него будут реагировать, но слабо, сразу несколько колебательных контуров, выглядящих для исследователя как паразитные?

> Думаю тут уже мощность должна быть такой что вся не экранированная электроника тупо выгорит в округе.

Почему выгорит? До земли должОн доехать сигнал приемлемой мощности, только и всего. Он может быть широкополосным, чтобы меньше выделяться над фоном. Он может быть повторен хоть стотыщмильёнов раз, в каковом случае он может даже и не сильно отличаться по мощности от фона.

> Насчёт второго вопроса не знаю, чтобы уменьшить сопротивление заземления?)

Может, чтобы лишить окружающих возможности случайно подать фазу на всю арматуру в здании, буде она не заземлена?

> > Ирак, вон, говорят, не пережил.

> А чё там с Ираком?

Расказывают, что за несколько часов не то перед первым, не то перед вторым вторжением американцев в Ирак подозрительно вовремя отказала национальная иракская телекоммуникационная сеть, построенная на оборудовании Cisco. В немалой степени благодаря этому американцы одержали убедительную победу над Ираком.