Jump to content
Калькуляторы

флуды - возхождение

Yo!

 

Тут короче мы примерно где-то с апреля почувствовали, что резко выросло количество флудов. Причем флуды такие, что порой у нас падают роутеры. Абоненты опечалены, мы опечалены, что делать не очень понятно.

Я честно говоря сначала думал, что это у нас какие-то проблемы именно с роутерами. Но похоже - причина именно что в усложнении ситуации.

 

Говорят с весны сильно подешевел ДДОС. Причем валят уже не коммерсантов, а довольно сложные ДДОСы использует школота в своих разборках. "Я твоего провайдера завалю" :-)

"провайдер vs провайдер или зассал?"

 

 

Что скажет многоуважаемый Олл?

Share this post


Link to post
Share on other sites

Резать исход по скорости и ппс прямо на доступе.

 

Что делать когда компы наших клиентов участвуют в ботнете примерно понятно.

 

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

Share this post


Link to post
Share on other sites

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

 

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

Share this post


Link to post
Share on other sites

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

 

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

 

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

Share this post


Link to post
Share on other sites

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

 

У меня раз ДДОсили весь блок. Пришлоcь снять анонс примерно на час. Благо другие сети не пострадали.

Share this post


Link to post
Share on other sites

Странные какие-то атаки происходят. В основном NTP амплификация, но бывает и другое.

В течении 20-30 минут вдруг 3-5-7 гигабит.

Никакого ущерба это не наносит. Возникает только вопрос - нафига ?

Наверное действительно - я твой провайдер канал шатал!

Share this post


Link to post
Share on other sites

Наверное действительно - я твой провайдер канал шатал!

Тоже такое впечатление сложилось.

 

За вчера только прилетело две атаки по 500-700 kpps. Причем летело в первый раз TCP фрагментами где-то с полчаса, второй - UDP фрагментами примерно полтора часа. Летело сразу в несколько IP сетей.

Share this post


Link to post
Share on other sites

А роутеры-то падают?

Понимаю, что вопрос интимный, но...

Share this post


Link to post
Share on other sites

ддосят регулярно. что ложится сегмент. что-то там настроили на dpi, оперативно инженеру алерт на мыло. дальше руками на границе баним абонента.

Share this post


Link to post
Share on other sites

А роутеры-то падают?

У мну полтора месяца назад роутер положили. Вчерась от TCP фрагментов сдурел а потом трапнулся OSPF на одном роутере.

Жестких крахов как-то небыло.

Share this post


Link to post
Share on other sites

У меня при сильной атаке проц уходит в полку, по таймаутам рвутся BGP сессии, отваливается консоль.

Share this post


Link to post
Share on other sites

На ASR9k такая нагрузка не оказывает никакого заметного влияния.

Наверное, надо сильно больше десятка гигабит и полутора мегапакетов,

из того что было максимум замечено.

Share this post


Link to post
Share on other sites

Резать исход по скорости и ппс прямо на доступе.

какой смысл? амплификацией вам может 2-3 десятки легко прилететь.

Чтобы самому не участвовать, наверное.

Share this post


Link to post
Share on other sites

Тоже стало прилетать регулярно, грешим на конкурентов, так как прилетает в последних числах месяца (когда абоненты голосуют рублем за провайдера + конкуренты ходят и говорят , "вот смотрите у них всё плохо, переключайтесь пока не поздно").

 

Прилетает до 10Г.

Пока что блочим на входе в ноль (главное поймать на начале, чтобы НАСы не полегли), но уже надоело и задумались о системе которая будет определять цель атаки и блочить в автоматическом режиме.

Edited by JohnPev

Share this post


Link to post
Share on other sites

Чтобы самому не участвовать, наверное.

 

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Share this post


Link to post
Share on other sites

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Всевозможные amplifications не требуют большой полосы от конечного пользователя. Но обязательным условием является подстановка адреса атакуемого ресурса в качестве source-ip. Аналогично syn-flood, где "разнообразие" source-ip есть "плюс". Да и многие другие атаки подразумевают фейковые source-ip, дабы сложнее было вычислить источники атаки. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

Share this post


Link to post
Share on other sites

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Хм, а на коммутаторах доступа такое реально реализовать?

По идее можно попробовать.

Есть идеи?

Share this post


Link to post
Share on other sites

Хм, а на коммутаторах доступа такое реально реализовать?

 

Большинство умеет, в отличии от rpf-check, последнее есть в комутаторах посерьёзней

 

Есть идеи?

 

Общий ППС, только дроп лишнего, практика показывает, что в 99% случаев абонент не замчает таких ограничений:

 

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

 

Это для 100 мбит, для других скоростей цифры можна подкорректировать. В любом случае полезно, т.к. от абонента уже не прилетит ненароком 50+ kpps ;)

Share this post


Link to post
Share on other sites

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

это unknown unicast, вообще не в тему тут)

Share this post


Link to post
Share on other sites

UDP пакеты без указания src/dst port содержимое пакета = [0-9a-zA-Z] в последовательности аски кодов, src ip от Китая до США.

 

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Мало чем помогает при дыдосе от ботосети исчисляемой сотней тысяч единиц.

 

Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

+1

 

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

Трафик контроль включен с самого начала, но чем это мешает боту на абоне долбить конкретный ip?

 

это unknown unicast, вообще не в тему тут)

+1

Share this post


Link to post
Share on other sites

А банальный фильтр на агрегации или бордере вида drop src_ip !<my_networks> сильно положит проц? Я к тому, что, если уж на доступе нет возможности включить, то, хотя бы на интере/агрегации можно резать "не наше" там, где его быть не может.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.