Тимур Опубликовано 16 ноября, 2015 · Жалоба Yo! Тут короче мы примерно где-то с апреля почувствовали, что резко выросло количество флудов. Причем флуды такие, что порой у нас падают роутеры. Абоненты опечалены, мы опечалены, что делать не очень понятно. Я честно говоря сначала думал, что это у нас какие-то проблемы именно с роутерами. Но похоже - причина именно что в усложнении ситуации. Говорят с весны сильно подешевел ДДОС. Причем валят уже не коммерсантов, а довольно сложные ДДОСы использует школота в своих разборках. "Я твоего провайдера завалю" :-) "провайдер vs провайдер или зассал?" Что скажет многоуважаемый Олл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 16 ноября, 2015 · Жалоба Резать исход по скорости и ппс прямо на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 16 ноября, 2015 · Жалоба Резать исход по скорости и ппс прямо на доступе. Что делать когда компы наших клиентов участвуют в ботнете примерно понятно. Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 16 ноября, 2015 · Жалоба Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Иногда против лома нет приёма. Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка. Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 16 ноября, 2015 · Жалоба Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными. Иногда против лома нет приёма. Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка. Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети. Все одно нашему роутеру поплохело Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 16 ноября, 2015 · Жалоба У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети. Все одно нашему роутеру поплохело У меня раз ДДОсили весь блок. Пришлоcь снять анонс примерно на час. Благо другие сети не пострадали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 16 ноября, 2015 · Жалоба Странные какие-то атаки происходят. В основном NTP амплификация, но бывает и другое. В течении 20-30 минут вдруг 3-5-7 гигабит. Никакого ущерба это не наносит. Возникает только вопрос - нафига ? Наверное действительно - я твой провайдер канал шатал! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 ноября, 2015 · Жалоба Начать с куратора... Он покажет, что у вас внутри живёт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 ноября, 2015 · Жалоба Наверное действительно - я твой провайдер канал шатал! Тоже такое впечатление сложилось. За вчера только прилетело две атаки по 500-700 kpps. Причем летело в первый раз TCP фрагментами где-то с полчаса, второй - UDP фрагментами примерно полтора часа. Летело сразу в несколько IP сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
muzzle Опубликовано 17 ноября, 2015 · Жалоба Каждый день летит udp трафик =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Тимур Опубликовано 17 ноября, 2015 · Жалоба А роутеры-то падают? Понимаю, что вопрос интимный, но... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 17 ноября, 2015 · Жалоба ддосят регулярно. что ложится сегмент. что-то там настроили на dpi, оперативно инженеру алерт на мыло. дальше руками на границе баним абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 ноября, 2015 · Жалоба А роутеры-то падают? У мну полтора месяца назад роутер положили. Вчерась от TCP фрагментов сдурел а потом трапнулся OSPF на одном роутере. Жестких крахов как-то небыло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 17 ноября, 2015 · Жалоба У меня при сильной атаке проц уходит в полку, по таймаутам рвутся BGP сессии, отваливается консоль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 17 ноября, 2015 · Жалоба На ASR9k такая нагрузка не оказывает никакого заметного влияния. Наверное, надо сильно больше десятка гигабит и полутора мегапакетов, из того что было максимум замечено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 17 ноября, 2015 · Жалоба Резать исход по скорости и ппс прямо на доступе. какой смысл? амплификацией вам может 2-3 десятки легко прилететь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 ноября, 2015 · Жалоба Резать исход по скорости и ппс прямо на доступе. какой смысл? амплификацией вам может 2-3 десятки легко прилететь. Чтобы самому не участвовать, наверное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnPev Опубликовано 17 ноября, 2015 (изменено) · Жалоба Тоже стало прилетать регулярно, грешим на конкурентов, так как прилетает в последних числах месяца (когда абоненты голосуют рублем за провайдера + конкуренты ходят и говорят , "вот смотрите у них всё плохо, переключайтесь пока не поздно"). Прилетает до 10Г. Пока что блочим на входе в ноль (главное поймать на начале, чтобы НАСы не полегли), но уже надоело и задумались о системе которая будет определять цель атаки и блочить в автоматическом режиме. Изменено 17 ноября, 2015 пользователем JohnPev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 17 ноября, 2015 · Жалоба Чтобы самому не участвовать, наверное. Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 17 ноября, 2015 · Жалоба Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Всевозможные amplifications не требуют большой полосы от конечного пользователя. Но обязательным условием является подстановка адреса атакуемого ресурса в качестве source-ip. Аналогично syn-flood, где "разнообразие" source-ip есть "плюс". Да и многие другие атаки подразумевают фейковые source-ip, дабы сложнее было вычислить источники атаки. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 17 ноября, 2015 · Жалоба Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5) Хм, а на коммутаторах доступа такое реально реализовать? По идее можно попробовать. Есть идеи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 17 ноября, 2015 · Жалоба Хм, а на коммутаторах доступа такое реально реализовать? Большинство умеет, в отличии от rpf-check, последнее есть в комутаторах посерьёзней Есть идеи? Общий ППС, только дроп лишнего, практика показывает, что в 99% случаев абонент не замчает таких ограничений: Циска storm-control unicast level pps 15360 5120 Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 Это для 100 мбит, для других скоростей цифры можна подкорректировать. В любом случае полезно, т.к. от абонента уже не прилетит ненароком 50+ kpps ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 18 ноября, 2015 · Жалоба Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 это unknown unicast, вообще не в тему тут) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 ноября, 2015 · Жалоба UDP пакеты без указания src/dst port содержимое пакета = [0-9a-zA-Z] в последовательности аски кодов, src ip от Китая до США. Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента. Мало чем помогает при дыдосе от ботосети исчисляемой сотней тысяч единиц. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору +1 Циска storm-control unicast level pps 15360 5120 Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5 Трафик контроль включен с самого начала, но чем это мешает боту на абоне долбить конкретный ip? это unknown unicast, вообще не в тему тут) +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 18 ноября, 2015 · Жалоба А банальный фильтр на агрегации или бордере вида drop src_ip !<my_networks> сильно положит проц? Я к тому, что, если уж на доступе нет возможности включить, то, хотя бы на интере/агрегации можно резать "не наше" там, где его быть не может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...