флуды - возхождение

Тимур · November 16, 2015

Yo!

Тут короче мы примерно где-то с апреля почувствовали, что резко выросло количество флудов. Причем флуды такие, что порой у нас падают роутеры. Абоненты опечалены, мы опечалены, что делать не очень понятно.

Я честно говоря сначала думал, что это у нас какие-то проблемы именно с роутерами. Но похоже - причина именно что в усложнении ситуации.

Говорят с весны сильно подешевел ДДОС. Причем валят уже не коммерсантов, а довольно сложные ДДОСы использует школота в своих разборках. "Я твоего провайдера завалю" :-)

"провайдер vs провайдер или зассал?"

Что скажет многоуважаемый Олл?

andryas · November 16, 2015

Резать исход по скорости и ппс прямо на доступе.

Тимур · November 16, 2015

Резать исход по скорости и ппс прямо на доступе.

Что делать когда компы наших клиентов участвуют в ботнете примерно понятно.

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

andryas · November 16, 2015

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

Тимур · November 16, 2015

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

andryas · November 16, 2015

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

У меня раз ДДОсили весь блок. Пришлоcь снять анонс примерно на час. Благо другие сети не пострадали.

Картуччо · November 16, 2015

Странные какие-то атаки происходят. В основном NTP амплификация, но бывает и другое.

В течении 20-30 минут вдруг 3-5-7 гигабит.

Никакого ущерба это не наносит. Возникает только вопрос - нафига ?

Наверное действительно - я твой провайдер канал шатал!

zhenya` · November 17, 2015

Начать с куратора... Он покажет, что у вас внутри живёт

snvoronkov · November 17, 2015

Наверное действительно - я твой провайдер канал шатал!

Тоже такое впечатление сложилось.

За вчера только прилетело две атаки по 500-700 kpps. Причем летело в первый раз TCP фрагментами где-то с полчаса, второй - UDP фрагментами примерно полтора часа. Летело сразу в несколько IP сетей.

muzzle · November 17, 2015

Каждый день летит udp трафик =)

Тимур · November 17, 2015

А роутеры-то падают?

Понимаю, что вопрос интимный, но...

woddy · November 17, 2015

ддосят регулярно. что ложится сегмент. что-то там настроили на dpi, оперативно инженеру алерт на мыло. дальше руками на границе баним абонента.

snvoronkov · November 17, 2015

А роутеры-то падают?

У мну полтора месяца назад роутер положили. Вчерась от TCP фрагментов сдурел а потом трапнулся OSPF на одном роутере.

Жестких крахов как-то небыло.

andryas · November 17, 2015

У меня при сильной атаке проц уходит в полку, по таймаутам рвутся BGP сессии, отваливается консоль.

Картуччо · November 17, 2015

На ASR9k такая нагрузка не оказывает никакого заметного влияния.

Наверное, надо сильно больше десятка гигабит и полутора мегапакетов,

из того что было максимум замечено.

^rage^ · November 17, 2015

Резать исход по скорости и ппс прямо на доступе.

какой смысл? амплификацией вам может 2-3 десятки легко прилететь.

xcme · November 17, 2015

Резать исход по скорости и ппс прямо на доступе.

какой смысл? амплификацией вам может 2-3 десятки легко прилететь.

Чтобы самому не участвовать, наверное.

JohnPev · November 17, 2015

Тоже стало прилетать регулярно, грешим на конкурентов, так как прилетает в последних числах месяца (когда абоненты голосуют рублем за провайдера + конкуренты ходят и говорят , "вот смотрите у них всё плохо, переключайтесь пока не поздно").

Прилетает до 10Г.

Пока что блочим на входе в ноль (главное поймать на начале, чтобы НАСы не полегли), но уже надоело и задумались о системе которая будет определять цель атаки и блочить в автоматическом режиме.

Edited November 17, 2015 by JohnPev

andryas · November 17, 2015

Чтобы самому не участвовать, наверное.

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

evd · November 17, 2015

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Всевозможные amplifications не требуют большой полосы от конечного пользователя. Но обязательным условием является подстановка адреса атакуемого ресурса в качестве source-ip. Аналогично syn-flood, где "разнообразие" source-ip есть "плюс". Да и многие другие атаки подразумевают фейковые source-ip, дабы сложнее было вычислить источники атаки. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

Negator · November 17, 2015

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.
Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Хм, а на коммутаторах доступа такое реально реализовать?

По идее можно попробовать.

Есть идеи?

andryas · November 17, 2015

Хм, а на коммутаторах доступа такое реально реализовать?

Большинство умеет, в отличии от rpf-check, последнее есть в комутаторах посерьёзней

Есть идеи?

Общий ППС, только дроп лишнего, практика показывает, что в 99% случаев абонент не замчает таких ограничений:

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

Это для 100 мбит, для других скоростей цифры можна подкорректировать. В любом случае полезно, т.к. от абонента уже не прилетит ненароком 50+ kpps ;)

mcdemon · November 18, 2015

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

это unknown unicast, вообще не в тему тут)

pppoetest · November 18, 2015

UDP пакеты без указания src/dst port содержимое пакета = [0-9a-zA-Z] в последовательности аски кодов, src ip от Китая до США.

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Мало чем помогает при дыдосе от ботосети исчисляемой сотней тысяч единиц.

Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

+1

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

Трафик контроль включен с самого начала, но чем это мешает боту на абоне долбить конкретный ip?

это unknown unicast, вообще не в тему тут)

+1

GateKeeper · November 18, 2015

А банальный фильтр на агрегации или бордере вида drop src_ip !<my_networks> сильно положит проц? Я к тому, что, если уж на доступе нет возможности включить, то, хотя бы на интере/агрегации можно резать "не наше" там, где его быть не может.

Sign In

флуды - возхождение

Recommended Posts

Тимур

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

andryas

Тимур

andryas

Тимур

andryas

Картуччо

zhenya`

snvoronkov

muzzle

Тимур

woddy

snvoronkov

andryas

Картуччо

^rage^

xcme

JohnPev

andryas

evd

Negator

andryas

mcdemon

pppoetest

GateKeeper

Join the conversation