megahertz0 Posted January 9, 2015 · Report post Доброго времени суток! Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip. Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает. Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все. Что это может быть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dazgluk Posted January 9, 2015 · Report post DDOS на одного из абонентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
megahertz0 Posted January 9, 2015 · Report post Они же за натом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dazgluk Posted January 9, 2015 · Report post Это не мешает влепить в NAT IP жертвы пару гигабит трафика. Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 9, 2015 · Report post Они же за натом? и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted January 10, 2015 · Report post Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере. Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm) тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 11, 2015 · Report post Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
megahertz0 Posted January 11, 2015 · Report post Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted January 11, 2015 · Report post Бороться только bgp blackhole, узнайте у ваших пиров поддерживают ли они rfc3882 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 11, 2015 · Report post Бороться только bgp blackhole не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted January 11, 2015 · Report post Не знал. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted January 12, 2015 · Report post Всегда радовал подход в виде отключения узла на которого идет DDOS) Это как отрезать себе ногу, только чтобы кровью не истечь)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted January 12, 2015 · Report post Это тактический вопрос. Аналогия с ногой неверна. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...