Have you established WHY your the target of the DDoS's?<br><br>matt<br><br><div class="gmail_quote">On Mon, Aug 10, 2009 at 3:22 PM, Roland Dobbins <span dir="ltr"><<a href="mailto:rdobbins@arbor.net">rdobbins@arbor.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="im"><br>
On Aug 10, 2009, at 12:08 PM, Nick Brown wrote:<br>
<br>
>  I'm interested to hear if anyone here has been in the situation<br>
> previously, and how you handled it<br>
<br>
<br>
</div>Have you implemented S/RTBH at your edges?  If so, you can blackhole<br>
based upon source addresses, not just destinations.<br>
<br>
Have you implemented NetFlow export into an appropriate analysis<br>
toolset, so as to provide detection/classification/traceback<br>
visibility (full disclosure; I work for a vendor which produces<br>
commercial NetFlow analysis tools, but note that there are several<br>
open-source tools available)?<br>
<br>
Do you have communication paths and relationships established with the<br>
relevant folks at your peers/upstreams/downstreams/end-customers so<br>
that you can reach out to them in order to get them to filter within<br>
their networks?<br>
<br>
Have you scaled and functionally bulkheaded your DNS infrastructure?<br>
<br>
Have you implemented reverse proxy-caches in front of all Web-based<br>
properties?<br>
<br>
Have you implemented tcpwrappers, mod_evasive, mod_security?<br>
<br>
Have you implemented an intelligent DDoS mitigation system, or IDMS<br>
(full disclosure; I work for a vendor which makes such systems).<br>
<br>
Have you joined the relevant opsec mitigation communities which allow<br>
providers to collaborate in handling security events such as DDoS<br>
attacks?<br>
<br>
Can you provide details of the attack traffic/methodologies?  This<br>
will help folks to provide more situationally-specific advice.<br>
<br>
-----------------------------------------------------------------------<br>
Roland Dobbins <<a href="mailto:rdobbins@arbor.net">rdobbins@arbor.net</a>> // <<a href="http://www.arbornetworks.com" target="_blank">http://www.arbornetworks.com</a>><br>
<br>
         Unfortunately, inefficiency scales really well.<br>
<br>
                   -- Kevin Lawton<br>
<div><div></div><div class="h5"><br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br>