megahertz0 Опубликовано 9 января, 2015 · Жалоба Доброго времени суток! Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip. Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает. Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все. Что это может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 9 января, 2015 · Жалоба DDOS на одного из абонентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 9 января, 2015 · Жалоба Они же за натом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 9 января, 2015 · Жалоба Это не мешает влепить в NAT IP жертвы пару гигабит трафика. Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 января, 2015 · Жалоба Они же за натом? и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 10 января, 2015 · Жалоба Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере. Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm) тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2015 · Жалоба Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 11 января, 2015 · Жалоба Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал. Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 11 января, 2015 · Жалоба Бороться только bgp blackhole, узнайте у ваших пиров поддерживают ли они rfc3882 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 января, 2015 · Жалоба Бороться только bgp blackhole не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 11 января, 2015 · Жалоба Не знал. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 12 января, 2015 · Жалоба Всегда радовал подход в виде отключения узла на которого идет DDOS) Это как отрезать себе ногу, только чтобы кровью не истечь)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 12 января, 2015 · Жалоба Это тактический вопрос. Аналогия с ногой неверна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...