Jump to content
Калькуляторы

Большой трафик на NATe

Доброго времени суток!

 

Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip.

 

Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает.

Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все.

 

Что это может быть?

Share this post


Link to post
Share on other sites

Это не мешает влепить в NAT IP жертвы пару гигабит трафика.

Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают

Share this post


Link to post
Share on other sites

Они же за натом?

и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт

 

настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос

Share this post


Link to post
Share on other sites

Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере.

Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm)

 

тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет.

Share this post


Link to post
Share on other sites

Самое интересное, что дальше тазика трафик на уходит и оседает на нем.

Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

Share this post


Link to post
Share on other sites

Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната.

Share this post


Link to post
Share on other sites

Бороться только bgp blackhole

 

не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику

Share this post


Link to post
Share on other sites

Всегда радовал подход в виде отключения узла на которого идет DDOS)

Это как отрезать себе ногу, только чтобы кровью не истечь))

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.