Блокировка веб ресурса   464 пользователя проголосовало

  1. 1. Для блокировка используем


Пожалуйста, войдите или зарегистрируйтесь для возможности голосования в этом опросе.

Генерится нехилый такой DDoS. У меня разогналось до 1,4 Mpps

трафик от extfilter тоже зеркалите???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

yKpon, hsvt, а какие сборки nfqfilter используете? У меня такая же проблема. У меня сборка патченная тов. myth, block_undetected_ssl тоже включен и файл с айпишниками присутствует. Пока решаю проблему просто закрыв пропускаемые урлы по IP.

сборка https://github.com/myth11/nfqfilter.git

пропуски всё равно есть http://paste.org.ru/?80r21d

 

те кто юзает nfqfilter кроме как заблочить вручную по ip не придумали решение?

Изменено пользователем yKpon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

трафик от extfilter тоже зеркалите???

Как его не зеркалить ?

Художник из меня так себе...

post-133647-088068700 1499589208_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

трафик от extfilter тоже зеркалите???

Как его не зеркалить ?

Художник из меня так себе...

2 порт выкинуть из зеракалирования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 порт выкинуть из зеракалирования

Как это сделать ? В данной схеме зеркалируется весь TX трафик, есть пользователи и сервера которые подключены без pppoe ('на прямую в vlan wan').

Изменено пользователем flow-control

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 порт выкинуть из зеракалирования

Как это сделать ? В данной схеме зеркалируется весь трафик от пользователей

исключите просто порт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Генерится нехилый такой DDoS. У меня разогналось до 1,4 Mpps

2 порт выкинуть из зеракалирования

На 0.70 все работало, на 0.80 с выключенной настройкой - тоже.

 

трафик от extfilter тоже зеркалите???

если он шлет rst в обе стороны, то его собственный rst таки вернется обратно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На 0.70 все работало, на 0.80 с выключенной настройкой - тоже

это к разработчику, у меня эта опция выключена. я просто предположил из-за чего может быть петля

 

 

если он шлет rst в обе стороны, то его собственный rst таки вернется обратно

таки как, если зеркалить extfilter не будете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Макс можешь объяснить как сейчас идет блокировка по IP в extfilter? C nfqfilter все понятно, в bgp блокируемые сетки заворачивались на Null0. То что network адреса отправлялись на фильтрацию. Сейчас весь трафик идет через зеркало, как сейчас идет блокировка по IP?

 

ПС кому не хочется поднимать свой почтовик для отправки, переписал функцию Mail() для отправки почты c gmail.com из скрипта nfqfilter_config. С Net::SMTP мне так и не удалось настроить отправку.

 

 

1102 sub Mail
1103 {
1104     my $text = shift;
1105     foreach (@mail_to)
1106     {
1107         eval {
1108         my $to= $_;
1109         use Email::Send::SMTP::Gmail;
1110         my $mail=Email::Send::SMTP::Gmail->new( -smtp=>$smtp_host,
1111                                              -login=>$smtp_login,
1112                                              -pass=> $smtp_password);
1113         $mail->send(-to=> $to,
1114                 -subject=>'zapret update!',
1115                 -verbose=>'1',
1116                 -body=>$text
1117             );
1118 
1119         $mail->bye;
1120         };
1121         $logger->error("Email send error: $@") if $@;
1122 
1123     };
1124 }

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

53ые ксеон уже прям сильно старый..

Это точно

Я уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это точно

Я уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали

Сколько у вас pps? Увеличивалось значение missed packets или ревизор фиксировал нарушения?

Изменено пользователем flow-control

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это точно

Я уже в теме писал, что у меня на таком были пропуски пакетов, но не все видимо читали

Сколько у вас pps? Увеличивалось значение missed packets или ревизор фиксировал нарушения?

чуть больше 150 kpps, росли missed packets, пропусков не было по ревизору

Поставил i7 и missed packets не растут

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как это проверить? на уровне дебага в логах никаких подробностей нет.

 

Вы сами готовите файл с url?

файл готовит extfilter-maker, grep-ом адрес в нём находится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А с куагой как правильно сделать? Сейчас просто на главном маршрутизаторе в аксес листы добавляю. Но и там есть предел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А с куагой как правильно сделать? Сейчас просто на главном маршрутизаторе в аксес листы добавляю. Но и там есть предел.

через extfilter-quagga

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да это понятно) Просто как у кого она стоит? На отдельном тазике или с extfilter? Как правильно настроить. Я с БГП не особо еще близко познакомился. Делать ли ее соседом с роутером который сейчас? Не совсем понятно

Изменено пользователем arhead

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да это понятно) Просто как у кого она стоит? На отдельном тазике или с extfilter? Как правильно настроить. Я с БГП не особо еще близко познакомился. Делать ли ее соседом с роутером который сейчас? Не совсем понятно

 

На extfilter поднята bgp сессия с бордером (ядром) ему анонсятся маршруты в блекхол.

 

Но есть одна проблема и не только у меня, заключается она в следующем:

 

К примеру эти сети

 

68.171.224.0/19

74.82.64.0/19

103.246.200.0/22

178.239.88.0/21

192.12.31.0/24

192.132.243.0/24

213.196.46.144/30

 

К сожалению префикс /19 перебивается маршрутами от аплинков с меньше маской и блокировка не работает.

 

run show route 68.171.224.0/19

inet.0: 652339 destinations, 1296683 routes (651284 active, 0 holddown, 2777 hidden)
+ = Active Route, - = Last Active, * = Both

68.171.224.0/19    *[bGP/170] 2d 13:23:12, MED 0, localpref 100
                     AS path: I, validation-state: unverified
                   > to 10.10.10.6 via irb.300
                   [bGP/170] 03:12:24, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/2/0.0
                   [bGP/170] 2w2d 18:48:41, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/3/0.0
68.171.224.0/20    *[bGP/170] 03:12:24, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/2/0.0
                   [bGP/170] 2w2d 18:48:41, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/3/0.0
68.171.239.0/24    *[bGP/170] 03:12:24, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/2/0.0
                   [bGP/170] 2w2d 18:48:41, localpref 100
                     AS path: ***** ***** ***** I, validation-state: unverified
                   > to X.X.X.X via xe-0/3/0.0

 

10.10.10.6 - фильтр.

 

Знакомый предлагает анонсить с фильтра /25 (дробить) по идее в этом случае перекрытий быть не должно быть.

 

Если больше /25 то бить до /25, если меньше 0 анонсить как есть.

 

Причём у Макса так же анонсятся в ядро, но нет такой проблемы с пересечением.

 

PS. local-preference 300 правда указан в самом neighbore, возможно нужно указать его в policy-statement

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Народ а зачем вы паритесь с bgp? Не ужели у всех циски стоят? Наверняка же софт-роутеры. Делаем ipset -N BLOCKNET hash:net довавляем в iptables -A FORWARD -s srcnet -m set --match-set BLOCKNET dst -j DROP. 60000-ip при 3Гбита трафика, вообще не наблюдается задержки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Народ а зачем вы паритесь с bgp? Не ужели у всех циски стоят? Наверняка же софт-роутеры. Делаем ipset -N BLOCKNET hash:net довавляем в iptables -A FORWARD -s srcnet -m set --match-set BLOCKNET dst -j DROP. 60000-ip при 3Гбита трафика, вообще не наблюдается задержки.

 

Есть скрипт реализации ? Может быть подправленный extfilter-maker\bgp ?

 

Ну и это получается на каждом брасе делать в сеты пихать? А тут оно всё через бордер пойдёт же...

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Есть скрипт реализации ? Может быть подправленный extfilter-maker\bgp ?

 

Ну и это получается на каждом брасе делать в сеты пихать? А тут оно всё через бордер пойдёт же...

Чуть позже сделаю и выложу, сейчас разбираюсь с пропусками, пока не могу понять в чем дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Вы комментируете как гость. Если у вас есть аккаунт, пожалуйста, войдите
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор