Antares Опубликовано 9 июля, 2017 · Жалоба Генерится нехилый такой DDoS. У меня разогналось до 1,4 Mpps трафик от extfilter тоже зеркалите??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 июля, 2017 (изменено) · Жалоба yKpon, hsvt, а какие сборки nfqfilter используете? У меня такая же проблема. У меня сборка патченная тов. myth, block_undetected_ssl тоже включен и файл с айпишниками присутствует. Пока решаю проблему просто закрыв пропускаемые урлы по IP. сборка https://github.com/myth11/nfqfilter.git пропуски всё равно есть http://paste.org.ru/?80r21d те кто юзает nfqfilter кроме как заблочить вручную по ip не придумали решение? Изменено 9 июля, 2017 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 9 июля, 2017 · Жалоба трафик от extfilter тоже зеркалите??? Как его не зеркалить ? Художник из меня так себе... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 9 июля, 2017 · Жалоба трафик от extfilter тоже зеркалите??? Как его не зеркалить ? Художник из меня так себе... 2 порт выкинуть из зеракалирования Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 9 июля, 2017 (изменено) · Жалоба 2 порт выкинуть из зеракалирования Как это сделать ? В данной схеме зеркалируется весь TX трафик, есть пользователи и сервера которые подключены без pppoe ('на прямую в vlan wan'). Изменено 9 июля, 2017 пользователем flow-control Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 9 июля, 2017 · Жалоба 2 порт выкинуть из зеракалирования Как это сделать ? В данной схеме зеркалируется весь трафик от пользователей исключите просто порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 июля, 2017 · Жалоба Генерится нехилый такой DDoS. У меня разогналось до 1,4 Mpps 2 порт выкинуть из зеракалирования На 0.70 все работало, на 0.80 с выключенной настройкой - тоже. трафик от extfilter тоже зеркалите??? если он шлет rst в обе стороны, то его собственный rst таки вернется обратно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 9 июля, 2017 · Жалоба На 0.70 все работало, на 0.80 с выключенной настройкой - тоже это к разработчику, у меня эта опция выключена. я просто предположил из-за чего может быть петля если он шлет rst в обе стороны, то его собственный rst таки вернется обратно таки как, если зеркалить extfilter не будете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 июля, 2017 · Жалоба Я вообще аплинк зеркалю, т.к сервер один Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
big-town Опубликовано 9 июля, 2017 · Жалоба Макс можешь объяснить как сейчас идет блокировка по IP в extfilter? C nfqfilter все понятно, в bgp блокируемые сетки заворачивались на Null0. То что network адреса отправлялись на фильтрацию. Сейчас весь трафик идет через зеркало, как сейчас идет блокировка по IP? ПС кому не хочется поднимать свой почтовик для отправки, переписал функцию Mail() для отправки почты c gmail.com из скрипта nfqfilter_config. С Net::SMTP мне так и не удалось настроить отправку. 1102 sub Mail 1103 { 1104 my $text = shift; 1105 foreach (@mail_to) 1106 { 1107 eval { 1108 my $to= $_; 1109 use Email::Send::SMTP::Gmail; 1110 my $mail=Email::Send::SMTP::Gmail->new( -smtp=>$smtp_host, 1111 -login=>$smtp_login, 1112 -pass=> $smtp_password); 1113 $mail->send(-to=> $to, 1114 -subject=>'zapret update!', 1115 -verbose=>'1', 1116 -body=>$text 1117 ); 1118 1119 $mail->bye; 1120 }; 1121 $logger->error("Email send error: $@") if $@; 1122 1123 }; 1124 } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 июля, 2017 · Жалоба в bgp блокируемые сетки заворачивались на Null0 точно так же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 июля, 2017 · Жалоба 53ые ксеон уже прям сильно старый.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 9 июля, 2017 · Жалоба 53ые ксеон уже прям сильно старый.. Это точноЯ уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 9 июля, 2017 (изменено) · Жалоба Это точно Я уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали Сколько у вас pps? Увеличивалось значение missed packets или ревизор фиксировал нарушения? Изменено 9 июля, 2017 пользователем flow-control Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 9 июля, 2017 · Жалоба Это точно Я уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали Сколько у вас pps? Увеличивалось значение missed packets или ревизор фиксировал нарушения? чуть больше 150 kpps, росли missed packets, пропусков не было по ревизору Поставил i7 и missed packets не растут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 10 июля, 2017 · Жалоба Как это проверить? на уровне дебага в логах никаких подробностей нет. Вы сами готовите файл с url? файл готовит extfilter-maker, grep-ом адрес в нём находится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 10 июля, 2017 · Жалоба А с куагой как правильно сделать? Сейчас просто на главном маршрутизаторе в аксес листы добавляю. Но и там есть предел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 10 июля, 2017 · Жалоба А с куагой как правильно сделать? Сейчас просто на главном маршрутизаторе в аксес листы добавляю. Но и там есть предел. через extfilter-quagga Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 10 июля, 2017 (изменено) · Жалоба Да это понятно) Просто как у кого она стоит? На отдельном тазике или с extfilter? Как правильно настроить. Я с БГП не особо еще близко познакомился. Делать ли ее соседом с роутером который сейчас? Не совсем понятно Изменено 10 июля, 2017 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 10 июля, 2017 · Жалоба с extfilter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 10 июля, 2017 (изменено) · Жалоба Да это понятно) Просто как у кого она стоит? На отдельном тазике или с extfilter? Как правильно настроить. Я с БГП не особо еще близко познакомился. Делать ли ее соседом с роутером который сейчас? Не совсем понятно На extfilter поднята bgp сессия с бордером (ядром) ему анонсятся маршруты в блекхол. Но есть одна проблема и не только у меня, заключается она в следующем: К примеру эти сети 68.171.224.0/19 74.82.64.0/19 103.246.200.0/22 178.239.88.0/21 192.12.31.0/24 192.132.243.0/24 213.196.46.144/30 К сожалению префикс /19 перебивается маршрутами от аплинков с меньше маской и блокировка не работает. run show route 68.171.224.0/19 inet.0: 652339 destinations, 1296683 routes (651284 active, 0 holddown, 2777 hidden) + = Active Route, - = Last Active, * = Both 68.171.224.0/19 *[bGP/170] 2d 13:23:12, MED 0, localpref 100 AS path: I, validation-state: unverified > to 10.10.10.6 via irb.300 [bGP/170] 03:12:24, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/2/0.0 [bGP/170] 2w2d 18:48:41, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/3/0.0 68.171.224.0/20 *[bGP/170] 03:12:24, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/2/0.0 [bGP/170] 2w2d 18:48:41, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/3/0.0 68.171.239.0/24 *[bGP/170] 03:12:24, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/2/0.0 [bGP/170] 2w2d 18:48:41, localpref 100 AS path: ***** ***** ***** I, validation-state: unverified > to X.X.X.X via xe-0/3/0.0 10.10.10.6 - фильтр. Знакомый предлагает анонсить с фильтра /25 (дробить) по идее в этом случае перекрытий быть не должно быть. Если больше /25 то бить до /25, если меньше 0 анонсить как есть. Причём у Макса так же анонсятся в ядро, но нет такой проблемы с пересечением. PS. local-preference 300 правда указан в самом neighbore, возможно нужно указать его в policy-statement Изменено 10 июля, 2017 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
big-town Опубликовано 10 июля, 2017 · Жалоба Народ а зачем вы паритесь с bgp? Не ужели у всех циски стоят? Наверняка же софт-роутеры. Делаем ipset -N BLOCKNET hash:net довавляем в iptables -A FORWARD -s srcnet -m set --match-set BLOCKNET dst -j DROP. 60000-ip при 3Гбита трафика, вообще не наблюдается задержки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 10 июля, 2017 · Жалоба С точки зрения ресурсов так дешевле Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 10 июля, 2017 (изменено) · Жалоба Народ а зачем вы паритесь с bgp? Не ужели у всех циски стоят? Наверняка же софт-роутеры. Делаем ipset -N BLOCKNET hash:net довавляем в iptables -A FORWARD -s srcnet -m set --match-set BLOCKNET dst -j DROP. 60000-ip при 3Гбита трафика, вообще не наблюдается задержки. Есть скрипт реализации ? Может быть подправленный extfilter-maker\bgp ? Ну и это получается на каждом брасе делать в сеты пихать? А тут оно всё через бордер пойдёт же... Изменено 10 июля, 2017 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
big-town Опубликовано 10 июля, 2017 · Жалоба Есть скрипт реализации ? Может быть подправленный extfilter-maker\bgp ? Ну и это получается на каждом брасе делать в сеты пихать? А тут оно всё через бордер пойдёт же... Чуть позже сделаю и выложу, сейчас разбираюсь с пропусками, пока не могу понять в чем дело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...