MonaxGT Опубликовано 15 мая, 2015 · Жалоба А есть виртуалка в доступе для обычного люда или контракт нужен? через посредников. http://www.servicepipe.ru/ То есть как бы арендуете у них? А я думал мб где есть образ чтобы потыкать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба MonaxGT, а FastNetMon не хотите?=) Он, конечно, не Арбор, но с типовыми видами флуда работать умеет прилично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ollsanek Опубликовано 15 мая, 2015 · Жалоба Ну попросить возможность работы в качестве RR для такого NLRI ТС хочет отдавать сабж алинкеру, а насколько я понимаю, фича с RR это iBGP. т.е. не подойдёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 15 мая, 2015 · Жалоба Врядли Аплинк в здравом уме примет от вас flowspec апдейт , фильтры там построить трудно (либо невозможно) а неправильный анонс может завалить кучу нормального трафика ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 15 мая, 2015 · Жалоба Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике. cloudflare же положил :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 15 мая, 2015 · Жалоба Почему? Число правил строго лимитировано. IP на которые можно применять правила (dst грубо говоря) - тоже могут быть строго из диапазонов, которые Вы же анонсируете (и которые фильтруются по дефалту). Отстрелить себе BGP, конечно, можно, но тоже не факт - пиринговый IP обычно не из личных диапазонов. Так что я даже не знаю, где может быть опасность. Разве что имплементация фаерволла совсем софтовая и он подохнет на смешном трафике. cloudflare же положил :) С дури и .у. ломают Кстати, случаем sup720 эту фичу не держит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
medvedv Опубликовано 15 мая, 2015 (изменено) · Жалоба orlik, flowspec фильтруется нормально, не забывайте про valdation. Но да, специальным образом сформированный флоу на определенном софте может вызвать глобальные проблемы, что мы видели на примере cloudflare. rdntw, cloudflare лег из-за бага в junos, на сколько я помню они анонсировали флоу с матчингом по длине пакета больше 65535 байт, что привело к падению. Кстати, в junos есть(возможно уже пофиксили) еще один баг, приводящий к крашу dfwd процесса. pavel.odintsov, у джуниперов имплементация flowspec фильтров не отличается от фаервольных фильтров. У циски, на сколько я помню, flowspec реализован так же как и PBR, со всеми его ограничениями. Вот пост на НАНОГе http://mailman.nanog.org/pipermail/nanog/2011-January/030051.html , правда там речь идет о DPC с старым I-chip, не знаю как дела обстоят на trio. SyJet, sup720 не умеет в flowspec, у циски на данный момент только ASR9k поддерживает. И да, наверно было бы интересно комьюнити узнать кто из операторов, присутствующих в РФ готов обмениваться flowspec с пирами, либо предоставляет кастомерам на коммерческой основе. Изменено 15 мая, 2015 пользователем medvedv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба medvedv, спасибо за подробный репорт. У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 15 мая, 2015 · Жалоба по длине пакета больше 65535 байт, что привело к падению скорее 4,470 байт У циски, на сколько я помню, flowspec реализован так же как и PBR, со всеми его ограничениями. получается можно и межоператирский QoS передавать более удобно? если на джунипер через FBF, а у циски через PBR...или костыльный способ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
medvedv Опубликовано 15 мая, 2015 · Жалоба medvedv, спасибо за подробный репорт. У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec? Никакой я не гуру :) show firewall filter __flowspec_default_inet__ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба Нене, я про то, что со стороны клиента узнать :) То есть я выбросил нечто для бана оператору, выбросил еще нечто, в итоге исчерпал число допустимых правил. И мне надо понять, какие правила можно убрать - и тут бы бесконечно пригодились счетчики :) SNMP таргет как-то ободранный и выданный клиенту со спец коммунити? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 15 мая, 2015 · Жалоба У меня тут возник вопрос, как раз к Juniper гуру - а можно ли как-то фиксировать, сколько пакетов отбило правило анонсированное силами flow spec? вот так ? brdr> show route table inetflow.0 inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 22.22.163.4,*,proto=17,dstport=68,srcport=53/term:1 *[bGP/170] 00:00:18, localpref 100, from 182.22.3.156 AS path: 32432 ?, validation-state: valid Fictitious brdr> brdr> show firewall filter flowspec_default_inet Filter: flowspec_default_inet Counters: Name Bytes Packets 22.22.163.4,*,proto=17,dstport=68,srcport=53 182499324 6517833 brdr> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба Ну, опять же, это со стороны владельца отбивающего трафик роутера, я же про клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 15 мая, 2015 · Жалоба SNMP таргет как-то ободранный и выданный клиенту со спец коммунити? SLAX скрипты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 15 мая, 2015 · Жалоба Ну, опять же, это со стороны владельца отбивающего трафик роутера, я же про клиента. написать ресурс (провайдером) который будет грепать и выводить в табличке) А так нельзя Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 мая, 2015 · Жалоба Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 мая, 2015 · Жалоба Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга? Ну да, лукинггласы это костыли. в обычном случае нужно просто глянуть advertised-routes для решения вашего вопроса. Ну и опять же в традиционных адресных пространствах максим-префикмс никто не отменял. лично я не вижу отличий от друних нлри Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 мая, 2015 · Жалоба Это костыли все зовется :) Очень странно, неужели нет никакого дополняющего RFC на тему мониторинга? Ну да, лукинггласы это костыли. в обычном случае нужно просто глянуть advertised-routes для решения вашего вопроса. Ну и опять же в традиционных адресных пространствах максим-префикмс никто не отменял. лично я не вижу отличий от друних нлри не, он про другое, как узнать какие анонсы уже не актуальны, например потому что атака уже закончилась Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 мая, 2015 · Жалоба zi_rus понял, спасибо Для этого 2 пути - "костыль" как предложили выше (аналог LG, но для flowspec, с отображением счётчиков) или же второй вариант - перенаправлять "плохой" трафик на выделенный интерфейс, за которым стоит анализатор(клиентский). т.е. периодически менять действия для правил с drop на redirect/rate и смотреть что закончилась атака или нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 21 мая, 2015 · Жалоба Сейчас может не в тему, но чтобы не плодить тем, может кто подскажет, как посмотреть анонсируемый с нашей стороны список blackhole, что он точно доходит до конечного пира, к примеру тот же Cogent, у нас с ним отдельная ссесия, мы просто ипы лепим в отельный prefix-lite и там через policy-statement они награждаются определеным community. Может вопрос для кого-то звучит дико, мне это хозяйство досталось по наследству и приходится разбираться в некоторых тонкостях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 21 мая, 2015 · Жалоба Сейчас может не в тему, но чтобы не плодить тем, может кто подскажет, как посмотреть анонсируемый с нашей стороны список blackhole, что он точно доходит до конечного пира, к примеру тот же Cogent, у нас с ним отдельная ссесия, мы просто ипы лепим в отельный prefix-lite и там через policy-statement они награждаются определеным community. {master} admin@M9_mx480> show route advertising-protocol bgp 172.16.16.6 community-name AS41842 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fomka31ru Опубликовано 21 мая, 2015 · Жалоба http://www.cogentco.com/en/network/looking-glass Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 21 мая, 2015 · Жалоба rdntw супер, спасибо. fomka31ru не совсем понял как увидеть в нем ресурс, в моем случае показывает только: BGP routing table entry for 178.0../32, version 1617051685Paths: (1 available, best #1, table Default-IP-Routing-Table) Local 10.255.255.255 (metric 10103031) from 38.28.1.83 (38.28.1.83) Origin incomplete, metric 0, localpref 150, valid, internal, best Community: 174:990 174:20912 174:21001 Originator: 154.54.4.59, Cluster list: 38.28.1.83, 38.28.1.110 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 мая, 2015 · Жалоба Megas скажите router-id bgp-спикера куда вы кидаете блэкхолы хотя и так всё понятно раз оно /32 на LG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...