Тяжелые будни ethernet-провайдинга, или Убить за 100 мегабит-секунд

Есть такая особенность в Ethernet-провайдинге - клиенты имеют доступ к серверам на скорости 100 мегабит в секунду. Если про это забывать, можно сталкиваться постоянно с различными нехорошими моментами.

Самое страшное в нашей истории было - это SYN-flood роутера, который выполняли одновременно куча вирусов на клиентских машинах в разных подсетях. Получалась такая распределенная атака на полной скорости. Было время - хотели использовать одну L3-”железяку” в центе сети, чтоб маршрутизировала. Но она оказалась от SYN-флуда абсолютно не защищена. Пришлось отказаться.

А сейчас всплыло другое. Некоторые клиентские машины выступают “участниками” распределенной D.O.S. атаки на некоторые сайты через DNS-запросы.
Конкретно сейчас была атака на ultracomp.ru. Начали разбираться насколько у нас противоударный ДНС-сервер. Нашел вот полезную утилитку - dns server DOS test utility. Даже с ограничением в 1000 пакетов (после запуска утилитки) вижу как нагрузка на проц зашкаливает, если “выпулить” все запросы залпом. Пока не ясно как с этим бороться. Когда куча запросов с одно ИП - есть сбособы, но если в дело вступает спуффинг, то труба будет. Одно ясно - нужно сеть все больше и больше сегментировать.

При чтении информации по конфигурированию bind появились новые вопросы, которые теперь сидят в голове. Стоит ли держать два отдельных named-а, где один для внутренней сети, а второй - для внешней, как сейчас, или настроить все на одном через “view” (Split DNS-конфигурация)… Пока склоняюсь ко второму варианту.