Уважаемые! нужна помощь..
У меня есть небольшая сеть, есть сервер-шлюз, через который осуществляется доступ к инету с любого компа сети.. На серваке стоит Win2003. Сервер планомерно ддосят, фаер иногда не справляется, изза чего вся сеть периодически ложится в даун( Вот лог фаера:12:59:14Обнаружена атакаОбнаружено сканирование портов с адреса 207.44.200.61 (порты: UDP (1501, 1448, 1249, 1218, 1178, 2831))
12:59:10Обнаружена атакаОбнаружено сканирование портов с адреса 205.145.128.14 (порты: UDP (1530, 1428, 1197, 1152, 2685, 2680))
12:56:59Обнаружена атакаОбнаружено сканирование портов с адреса 69.73.132.227 (порты: UDP (2546, 2524, 2266, 2228, 1963, 1674))
12:56:49Обнаружена атакаОбнаружено сканирование портов с адреса 66.179.175.2 (порты: UDP (2271, 2259, 2235, 1804, 1800, 1669))
12:56:19Обнаружена атакаОбнаружено сканирование портов с адреса 216.9.160.10 (порты: UDP (1802, 1761, 1589, 1377, 1335, 2005))
12:55:54Обнаружена атакаОбнаружено сканирование портов с адреса 66.80.130.23 (порты: UDP (1586, 1380, 1857, 1085, 1736, 1720))
12:55:23Обнаружена атакаОбнаружено сканирование портов с адреса 216.195.48.10 (порты: UDP (1076, 2005, 1733, 1490, 1714, 1265))

Кто может посоветовать надежные методы защиты? Какой фаервол посоветуете?

Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.

Я выкладывал в этой теме https://forum.antichat.ru/threadnav46582-2-10.html книги по Windows 2003 Server, думаю пригодятся.

у меня к сожалению есть возможность только рулить сервером

хм.. Аутпост+функция блокирования подсети злоумышленника из-за сканирования портов? :) Если запросы идут на определенный порт - блокировать его, по логу видно что идет udp-флуд, заблокировать udp-трафик если некритично?

Kerio Winroute? спроси у местных как они с этим борются. + хостинг хороший

С форумов:
При грамотно произведенной атаке можно только молиться.

Касаемо того, где закрывать, то я уже много раз писал, что закрывать непосредственно на файрволле сервера, то есть, когда пакет уже пришел на машину - бесполезно. Закрывать следует на маршрутизаторе.

и не забывай про комплейны провайдеру

Всё равно стопроцентной защиты от доса не добиться... Фаервол тут не при чём... И блокировка сети злоумышленника при досе - детский лепет, оно имеет определённый смысл при планомерных атаках... Канал всё равно будет просидать... Единственный метод как водится - сигнатурный и статистический анализ трафика... Но даже он имеет эффективность только по мере приближения к источнику атаки... В общем, чтобы искоренить дос, нужно аппаратное решение на уровне маршрутизаторов, причём маршрутизаторов провайдеров верхнего уровня... А так, в твоей ситуации - единственный метод защиты - уклонение от атаки, т.е. выбивай у начальства баблосы, организуй резервный шлюз и т.д.

А ты не пробовал поставить перед сервером-шлюзом поставить слабенький компик на никсах с мощненьким фаером? Нафига козе баян ... эээ то есть зачем тебе вообще UDP порты? На крайняк только 53 может пригодиться! Настрой грамотно на этом компе-фаере ipfw или iptables (это уже дело вкуса, я бы все же на фре поднимал) и руби к черту все "левые" запросы. Сервак у тебя разгрузиться "мама не горюй". А ДДОСерам останеться толдько 80 ну и может быть 53 порты.