[MonaxGT]

А есть виртуалка в доступе для обычного люда или контракт нужен?

через посредников.

 

http://www.servicepipe.ru/

 

То есть как бы арендуете у них? А я думал мб где есть образ чтобы потыкать

[pavel.odintsov]

MonaxGT, а FastNetMon не хотите?=) Он, конечно, не Арбор, но с типовыми видами флуда работать умеет прилично.

[ollsanek]

Ну попросить возможность работы в качестве RR для такого NLRI

ТС хочет отдавать сабж алинкеру, а насколько я понимаю, фича с RR это iBGP.

т.е. не подойдёт.

[orlik]

Врядли Аплинк в здравом уме примет от вас flowspec апдейт , фильтры там построить трудно (либо невозможно) а неправильный анонс может завалить кучу нормального трафика ...

[pavel.odintsov]

Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике.

[rdntw]

Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике.

cloudflare же положил :)

[SyJet]

Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике.

cloudflare же положил :)

С дури и .у. ломают

 

Кстати, случаем sup720 эту фичу не держит?

[medvedv]

orlik, flowspec фильтруется нормально, не забывайте про valdation. Но да, специальным образом сформированный флоу на определенном софте может вызвать глобальные проблемы, что мы видели на примере cloudflare.

rdntw, cloudflare лег из-за бага в junos, на сколько я помню они анонсировали флоу с матчингом по длине пакета больше 65535 байт, что привело к падению. Кстати, в junos есть(возможно уже пофиксили) еще один баг, приводящий к крашу dfwd процесса.

pavel.odintsov, у джуниперов имплементация flowspec фильтров не отличается от фаервольных фильтров. У циски, на сколько я помню, flowspec реализован так же как и PBR, со всеми его ограничениями.

Вот пост на НАНОГе http://mailman.nanog.org/pipermail/nanog/2011-January/030051.html

, правда там речь идет о DPC с старым I-chip, не знаю как дела обстоят на trio.

SyJet, sup720 не умеет в flowspec, у циски на данный момент только ASR9k поддерживает.

И да, наверно было бы интересно комьюнити узнать кто из операторов, присутствующих в РФ готов обмениваться flowspec с пирами, либо предоставляет кастомерам на коммерческой основе.

Изменено 15 мая, 2015 пользователем medvedv

[pavel.odintsov]

medvedv, спасибо за подробный репорт.

 

У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec?

[rdntw]

по длине пакета больше 65535 байт, что привело к падению

скорее 4,470 байт

 

У циски, на сколько я помню, flowspec реализован так же как и PBR, со всеми его ограничениями.

получается можно и межоператирский QoS передавать более удобно? если на джунипер через FBF, а у циски через PBR...или костыльный способ?

[medvedv]

medvedv, спасибо за подробный репорт.

 

У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec?

Никакой я не гуру :)

show firewall filter __flowspec_default_inet__

[pavel.odintsov]

Нене, я про то, что со стороны клиента узнать :) То есть я выбросил нечто для бана оператору, выбросил еще нечто, в итоге исчерпал число допустимых правил. И мне надо понять, какие правила можно убрать - и тут бы бесконечно пригодились счетчики :)

 

SNMP таргет как-то ободранный и выданный клиенту со спец коммунити?

[rdntw]

У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec?

вот так ?

brdr> show route table inetflow.0    

inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

22.22.163.4,*,proto=17,dstport=68,srcport=53/term:1            
                  *[bGP/170] 00:00:18, localpref 100, from 182.22.3.156
                     AS path: 32432 ?, validation-state: valid
                     Fictitious

brdr>

brdr> show firewall filter flowspec_default_inet 

Filter: flowspec_default_inet                              
Counters:
Name                                                Bytes              Packets
22.22.163.4,*,proto=17,dstport=68,srcport=53            182499324              6517833

brdr>

[pavel.odintsov]

Ну, опять же, это со стороны владельца отбивающего трафик роутера, я же про клиента.

[rdntw]

SNMP таргет как-то ободранный и выданный клиенту со спец коммунити?

SLAX скрипты?

[MonaxGT]

Ну, опять же, это со стороны владельца отбивающего трафик роутера, я же про клиента.

 

написать ресурс (провайдером) который будет грепать и выводить в табличке)

 

А так нельзя

[pavel.odintsov]

Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга?

[s.lobanov]

Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга?

 

Ну да, лукинггласы это костыли.

 

в обычном случае нужно просто глянуть advertised-routes для решения вашего вопроса. Ну и опять же в традиционных адресных пространствах максим-префикмс никто не отменял.

 

лично я не вижу отличий от друних нлри

[zi_rus]

Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга?

 

Ну да, лукинггласы это костыли.

 

в обычном случае нужно просто глянуть advertised-routes для решения вашего вопроса. Ну и опять же в традиционных адресных пространствах максим-префикмс никто не отменял.

 

лично я не вижу отличий от друних нлри

не, он про другое, как узнать какие анонсы уже не актуальны, например потому что атака уже закончилась

[s.lobanov]

zi_rus

понял, спасибо

 

Для этого 2 пути - "костыль" как предложили выше (аналог LG, но для flowspec, с отображением счётчиков) или же второй вариант - перенаправлять "плохой" трафик на выделенный интерфейс, за которым стоит анализатор(клиентский). т.е. периодически менять действия для правил с drop на redirect/rate и смотреть что закончилась атака или нет

[Megas]

Сейчас может не в тему, но чтобы не плодить тем, может кто подскажет, как посмотреть анонсируемый с нашей стороны список blackhole, что он точно доходит до конечного пира, к примеру тот же Cogent, у нас с ним отдельная ссесия, мы просто ипы лепим в отельный prefix-lite и там через policy-statement они награждаются определеным community.

 

Может вопрос для кого-то звучит дико, мне это хозяйство досталось по наследству и приходится разбираться в некоторых тонкостях.

[rdntw]

Сейчас может не в тему, но чтобы не плодить тем, может кто подскажет, как посмотреть анонсируемый с нашей стороны список blackhole, что он точно доходит до конечного пира, к примеру тот же Cogent, у нас с ним отдельная ссесия, мы просто ипы лепим в отельный prefix-lite и там через policy-statement они награждаются определеным community.

 

{master}
admin@M9_mx480> show route advertising-protocol bgp 172.16.16.6 community-name AS41842 

[fomka31ru]

http://www.cogentco.com/en/network/looking-glass

[Megas]

rdntw супер, спасибо.

 

fomka31ru не совсем понял как увидеть в нем ресурс, в моем случае показывает только:

 

BGP routing table entry for 178.0../32, version 1617051685

Paths: (1 available, best #1, table Default-IP-Routing-Table)

Local

10.255.255.255 (metric 10103031) from 38.28.1.83 (38.28.1.83)

Origin incomplete, metric 0, localpref 150, valid, internal, best

Community: 174:990 174:20912 174:21001

Originator: 154.54.4.59, Cluster list: 38.28.1.83, 38.28.1.110

[s.lobanov]

Megas

скажите router-id bgp-спикера куда вы кидаете блэкхолы

 

хотя и так всё понятно раз оно /32 на LG