megahertz0 Posted January 9, 2015 Posted January 9, 2015 Доброго времени суток! Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip. Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает. Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все. Что это может быть? Вставить ник Quote
dazgluk Posted January 9, 2015 Posted January 9, 2015 Это не мешает влепить в NAT IP жертвы пару гигабит трафика. Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают Вставить ник Quote
s.lobanov Posted January 9, 2015 Posted January 9, 2015 Они же за натом? и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос Вставить ник Quote
rdntw Posted January 10, 2015 Posted January 10, 2015 Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере. Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm) тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет. Вставить ник Quote
Ivan_83 Posted January 11, 2015 Posted January 11, 2015 Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Вставить ник Quote
megahertz0 Posted January 11, 2015 Author Posted January 11, 2015 Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната. Вставить ник Quote
pppoetest Posted January 11, 2015 Posted January 11, 2015 Бороться только bgp blackhole, узнайте у ваших пиров поддерживают ли они rfc3882 Вставить ник Quote
s.lobanov Posted January 11, 2015 Posted January 11, 2015 Бороться только bgp blackhole не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику Вставить ник Quote
MonaxGT Posted January 12, 2015 Posted January 12, 2015 Всегда радовал подход в виде отключения узла на которого идет DDOS) Это как отрезать себе ногу, только чтобы кровью не истечь)) Вставить ник Quote
dignity Posted January 12, 2015 Posted January 12, 2015 Это тактический вопрос. Аналогия с ногой неверна. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.