Jump to content
Калькуляторы

Большой трафик на NATe

Доброго времени суток!

 

Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip.

 

Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает.

Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все.

 

Что это может быть?

Share this post


Link to post
Share on other sites

DDOS на одного из абонентов

Share this post


Link to post
Share on other sites

Это не мешает влепить в NAT IP жертвы пару гигабит трафика.

Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают

Share this post


Link to post
Share on other sites

Они же за натом?

и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт

 

настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос

Share this post


Link to post
Share on other sites

Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере.

Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm)

 

тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет.

Share this post


Link to post
Share on other sites
Самое интересное, что дальше тазика трафик на уходит и оседает на нем.

Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

Share this post


Link to post
Share on other sites
Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната.

Share this post


Link to post
Share on other sites

Бороться только bgp blackhole, узнайте у ваших пиров поддерживают ли они rfc3882

Share this post


Link to post
Share on other sites

Бороться только bgp blackhole

 

не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику

Share this post


Link to post
Share on other sites

Всегда радовал подход в виде отключения узла на которого идет DDOS)

Это как отрезать себе ногу, только чтобы кровью не истечь))

Share this post


Link to post
Share on other sites

Это тактический вопрос. Аналогия с ногой неверна.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this