У нас есть примерно 3-4 Гбит ICMP-флуд на одном из наших серверов, и мне интересно ... У меня есть защита от DDoS на 20 Гбит / с, но, как ни странно, защита кажется неэффективной против ICMP (она хорошо сработала, чтобы заблокировать тонну атак TCP и UDP в прошлое, но он не работает для ICMP, поскольку мы получаем время простоя).
Вот образец трафика, отправленного обнаружением DDoS: http://pastebin.com/raw.php?i=MW4gTN1C
Дело в том, что я не могу знать, что это за ICMP-пакеты.
1- Возможна ли такая атака только с типом ICMP ECHO (ping-пакеты), или существуют другие типы пакетов ICMP, которые можно использовать для такого рода атак? Потому что я не вижу возможности отражать пакеты ICMP, кроме как с помощью эхо-запросов.
2- Я знаю, что ICMP рекомендуется оставить разблокированным для некоторых вещей, таких как MTU, поэтому каких пакетов ICMP мне следует избегать или ограничения скорости (в случае, если некоторые из них необходимы для быстрых сетевых операций)?
3- Прямо сейчас я попросил, чтобы ICMP был полностью отклонен (плохая идея, я знаю, но мне нужно было быстрое решение, и оно сработало) на основном маршрутизаторе центра обработки данных. ACL - это
0: deny icmp any 104.x.x.x/29
1: permit ip any any
Есть ли лучший способ заблокировать такую атаку? Вы думаете, что только блокирование эхо-запросов ICMP позволит избавиться от последствий атаки?
В общем, я пытаюсь создать ACL, который фильтрует потенциально опасные пакеты ICMP в целом, не избавляясь от них полностью.
Спасибо