Тимур Posted November 16, 2015 · Report post Yo! Тут короче мы примерно где-то с апреля почувствовали, что резко выросло количество флудов. Причем флуды такие, что порой у нас падают роутеры. Абоненты опечалены, мы опечалены, что делать не очень понятно. Я честно говоря сначала думал, что это у нас какие-то проблемы именно с роутерами. Но похоже - причина именно что в усложнении ситуации. Говорят с весны сильно подешевел ДДОС. Причем валят уже не коммерсантов, а довольно сложные ДДОСы использует школота в своих разборках. "Я твоего провайдера завалю" :-) "провайдер vs провайдер или зассал?" Что скажет многоуважаемый Олл? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 16, 2015 · Report post Резать исход по скорости и ппс прямо на доступе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Тимур Posted November 16, 2015 · Report post Резать исход по скорости и ппс прямо на доступе. Что делать когда компы наших клиентов участвуют в ботнете примерно понятно. Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 16, 2015 · Report post Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Иногда против лома нет приёма. Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка. Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Тимур Posted November 16, 2015 · Report post Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Иногда против лома нет приёма. Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка. Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети. Все одно нашему роутеру поплохело Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 16, 2015 · Report post У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети. Все одно нашему роутеру поплохело У меня раз ДДОсили весь блок. Пришлоcь снять анонс примерно на час. Благо другие сети не пострадали. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted November 16, 2015 · Report post Странные какие-то атаки происходят. В основном NTP амплификация, но бывает и другое. В течении 20-30 минут вдруг 3-5-7 гигабит. Никакого ущерба это не наносит. Возникает только вопрос - нафига ? Наверное действительно - я твой провайдер канал шатал! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 17, 2015 · Report post Начать с куратора... Он покажет, что у вас внутри живёт Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted November 17, 2015 · Report post Наверное действительно - я твой провайдер канал шатал! Тоже такое впечатление сложилось. За вчера только прилетело две атаки по 500-700 kpps. Причем летело в первый раз TCP фрагментами где-то с полчаса, второй - UDP фрагментами примерно полтора часа. Летело сразу в несколько IP сетей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
muzzle Posted November 17, 2015 · Report post Каждый день летит udp трафик =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Тимур Posted November 17, 2015 · Report post А роутеры-то падают? Понимаю, что вопрос интимный, но... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted November 17, 2015 · Report post ддосят регулярно. что ложится сегмент. что-то там настроили на dpi, оперативно инженеру алерт на мыло. дальше руками на границе баним абонента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted November 17, 2015 · Report post А роутеры-то падают? У мну полтора месяца назад роутер положили. Вчерась от TCP фрагментов сдурел а потом трапнулся OSPF на одном роутере. Жестких крахов как-то небыло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 17, 2015 · Report post У меня при сильной атаке проц уходит в полку, по таймаутам рвутся BGP сессии, отваливается консоль. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted November 17, 2015 · Report post На ASR9k такая нагрузка не оказывает никакого заметного влияния. Наверное, надо сильно больше десятка гигабит и полутора мегапакетов, из того что было максимум замечено. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted November 17, 2015 · Report post Резать исход по скорости и ппс прямо на доступе. какой смысл? амплификацией вам может 2-3 десятки легко прилететь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted November 17, 2015 · Report post Резать исход по скорости и ппс прямо на доступе. какой смысл? амплификацией вам может 2-3 десятки легко прилететь. Чтобы самому не участвовать, наверное. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
JohnPev Posted November 17, 2015 (edited) · Report post Тоже стало прилетать регулярно, грешим на конкурентов, так как прилетает в последних числах месяца (когда абоненты голосуют рублем за провайдера + конкуренты ходят и говорят , "вот смотрите у них всё плохо, переключайтесь пока не поздно"). Прилетает до 10Г. Пока что блочим на входе в ноль (главное поймать на начале, чтобы НАСы не полегли), но уже надоело и задумались о системе которая будет определять цель атаки и блочить в автоматическом режиме. Edited November 17, 2015 by JohnPev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 17, 2015 · Report post Чтобы самому не участвовать, наверное. Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
evd Posted November 17, 2015 · Report post Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Всевозможные amplifications не требуют большой полосы от конечного пользователя. Но обязательным условием является подстановка адреса атакуемого ресурса в качестве source-ip. Аналогично syn-flood, где "разнообразие" source-ip есть "плюс". Да и многие другие атаки подразумевают фейковые source-ip, дабы сложнее было вычислить источники атаки. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted November 17, 2015 · Report post Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Хм, а на коммутаторах доступа такое реально реализовать? По идее можно попробовать. Есть идеи? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted November 17, 2015 · Report post Хм, а на коммутаторах доступа такое реально реализовать? Большинство умеет, в отличии от rpf-check, последнее есть в комутаторах посерьёзней Есть идеи? Общий ППС, только дроп лишнего, практика показывает, что в 99% случаев абонент не замчает таких ограничений: Циска storm-control unicast level pps 15360 5120 Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 Это для 100 мбит, для других скоростей цифры можна подкорректировать. В любом случае полезно, т.к. от абонента уже не прилетит ненароком 50+ kpps ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted November 18, 2015 · Report post Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 это unknown unicast, вообще не в тему тут) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted November 18, 2015 · Report post UDP пакеты без указания src/dst port содержимое пакета = [0-9a-zA-Z] в последовательности аски кодов, src ip от Китая до США. Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Мало чем помогает при дыдосе от ботосети исчисляемой сотней тысяч единиц. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору +1 Циска storm-control unicast level pps 15360 5120 Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 Трафик контроль включен с самого начала, но чем это мешает боту на абоне долбить конкретный ip? это unknown unicast, вообще не в тему тут) +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GateKeeper Posted November 18, 2015 · Report post А банальный фильтр на агрегации или бордере вида drop src_ip !<my_networks> сильно положит проц? Я к тому, что, если уж на доступе нет возможности включить, то, хотя бы на интере/агрегации можно резать "не наше" там, где его быть не может. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...