[megahertz0]

Доброго времени суток!

 

Есть вот такая схема. Два аплинка по 600М, два фулл вью. НАТ на тазике с двумя десятками и freebsd 10. Натим на ipfw на пул адресов /27, блок серых адресов -> один инстанс с натом на реальный ip.

 

Так вот. Все работает хорошо, но в один прекрасный момент на тазик с натом прилетает куча трафика. Выглядит по графикам примерно вот так, нагрузка на проц прыгает, аплинки синхронно уходят в полку. Самое интересное, что дальше тазика трафик на уходит и оседает на нем. Проблема возникает случайно и так же проходит, повторяется уже третий раз. Пока не удалось поймать проблему и оперативно отмиррорить трафик и посмотреть что там. Самому интересно откуда берется. Пока поколдовал с полисерами на бордере и порезал трафик так, чтобы на аплинках оставалась полоса, но это полумера и проблему не решает.

Да, тазик просканировал nmapом - ничего криминального, только ssh с админской сетки и все.

 

Что это может быть?

[dazgluk]

DDOS на одного из абонентов

[megahertz0]

Они же за натом?

[dazgluk]

Это не мешает влепить в NAT IP жертвы пару гигабит трафика.

Ищите эту жертву, тут вон писали что даже из за боев в онлайн играх нынче ddos заказывают

[s.lobanov]

Они же за натом?

и? Внешний ip есть, значит я могу прямо щас зайти на какой-нибудь сервер с 10г-подключением и pktgen-ом заслать вам 10г трафика. И дальше вашего нат-устройства он не уйдёт

 

настраивайте нетфлоу и потом разгребайте его, там найдёте откуда и куда направлен дос/ддос

[rdntw]

Была подобная проблема у клиента-даунлинка, так как атаки продолжались на один и тот же ип, попробовали исключить ип из пула и заблочить на бордере.

Естественно нужно было освободить бордер от примерно 15гбс лишнего трафика, тогда справились blackhole comm)

 

тем более у вас бордер juniper, напишите всякие фильтры на подсетку пула чтобы посмотреть что за трафик идет.

[Ivan_83]

Самое интересное, что дальше тазика трафик на уходит и оседает на нем.

Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

[megahertz0]

Потому что NAT не знает для кого этот траф, ни в одну из существующих трансляций он не попал и нат его отправил в ip_input хоста и тот его подропал.

Это и так понятно, что флуд прилетает на саму машину. Вопрос в том, как бороться. Трафик то пришел и это как бы свершившийся факт. Видимо придется отслеживать акати а блэкхолить атакуемые адреса из пула ната.

[pppoetest]

Бороться только bgp blackhole, узнайте у ваших пиров поддерживают ли они rfc3882

[s.lobanov]

Бороться только bgp blackhole

 

не только. нынче в моде bgp flowspec, можете начинать троллить магистралов на эту тему, лучше через манагеров, так быстрее будет ибо технарям может быть не интересно, только лишний геморрой - какой-нибудь клиент-***к заблочит сам себе что-нибудь нужное и будет плодить тикеты и истерику

[pppoetest]

Не знал. Спасибо.

[MonaxGT]

Всегда радовал подход в виде отключения узла на которого идет DDOS)

Это как отрезать себе ногу, только чтобы кровью не истечь))

[dignity]

Это тактический вопрос. Аналогия с ногой неверна.