[Тимур]

Yo!

 

Тут короче мы примерно где-то с апреля почувствовали, что резко выросло количество флудов. Причем флуды такие, что порой у нас падают роутеры. Абоненты опечалены, мы опечалены, что делать не очень понятно.

Я честно говоря сначала думал, что это у нас какие-то проблемы именно с роутерами. Но похоже - причина именно что в усложнении ситуации.

 

Говорят с весны сильно подешевел ДДОС. Причем валят уже не коммерсантов, а довольно сложные ДДОСы использует школота в своих разборках. "Я твоего провайдера завалю" :-)

"провайдер vs провайдер или зассал?"

 

 

Что скажет многоуважаемый Олл?

[andryas]

Резать исход по скорости и ппс прямо на доступе.

[Тимур]

Резать исход по скорости и ппс прямо на доступе.

 

Что делать когда компы наших клиентов участвуют в ботнете примерно понятно.

 

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

[andryas]

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

 

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

[Тимур]

Непонятно что делать, когда нашего клиента начинают флудить. ДДосы стали очень изощренными.

 

Иногда против лома нет приёма.

Я меняю клиенту IP, а его прошлый роучу в нуль. Если ДДОС небольшой то на своём бордере, если большой - прошу аплинка.

Автоматизировать процесс наверно можно, у меня ДДОСы нечасто, пока ручками. Благо обычно дляться недолго

 

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

[andryas]

У нас был смешной случай. Мы примерно так и поступили. Тогда оператор ДДОСа начал бомбить соседние IP из подсети.

Все одно нашему роутеру поплохело

 

У меня раз ДДОсили весь блок. Пришлоcь снять анонс примерно на час. Благо другие сети не пострадали.

[Картуччо]

Странные какие-то атаки происходят. В основном NTP амплификация, но бывает и другое.

В течении 20-30 минут вдруг 3-5-7 гигабит.

Никакого ущерба это не наносит. Возникает только вопрос - нафига ?

Наверное действительно - я твой провайдер канал шатал!

[zhenya`]

Начать с куратора... Он покажет, что у вас внутри живёт

[snvoronkov]

Наверное действительно - я твой провайдер канал шатал!

Тоже такое впечатление сложилось.

 

За вчера только прилетело две атаки по 500-700 kpps. Причем летело в первый раз TCP фрагментами где-то с полчаса, второй - UDP фрагментами примерно полтора часа. Летело сразу в несколько IP сетей.

[muzzle]

Каждый день летит udp трафик =)

[Тимур]

А роутеры-то падают?

Понимаю, что вопрос интимный, но...

[woddy]

ддосят регулярно. что ложится сегмент. что-то там настроили на dpi, оперативно инженеру алерт на мыло. дальше руками на границе баним абонента.

[snvoronkov]

А роутеры-то падают?

У мну полтора месяца назад роутер положили. Вчерась от TCP фрагментов сдурел а потом трапнулся OSPF на одном роутере.

Жестких крахов как-то небыло.

[andryas]

У меня при сильной атаке проц уходит в полку, по таймаутам рвутся BGP сессии, отваливается консоль.

[Картуччо]

На ASR9k такая нагрузка не оказывает никакого заметного влияния.

Наверное, надо сильно больше десятка гигабит и полутора мегапакетов,

из того что было максимум замечено.

[^rage^]

Резать исход по скорости и ппс прямо на доступе.

какой смысл? амплификацией вам может 2-3 десятки легко прилететь.

[xcme]

Резать исход по скорости и ппс прямо на доступе.

какой смысл? амплификацией вам может 2-3 десятки легко прилететь.

Чтобы самому не участвовать, наверное.

[JohnPev]

Тоже стало прилетать регулярно, грешим на конкурентов, так как прилетает в последних числах месяца (когда абоненты голосуют рублем за провайдера + конкуренты ходят и говорят , "вот смотрите у них всё плохо, переключайтесь пока не поздно").

 

Прилетает до 10Г.

Пока что блочим на входе в ноль (главное поймать на начале, чтобы НАСы не полегли), но уже надоело и задумались о системе которая будет определять цель атаки и блочить в автоматическом режиме.

Изменено 17 ноября, 2015 пользователем JohnPev

[andryas]

Чтобы самому не участвовать, наверное.

 

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

[evd]

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Всевозможные amplifications не требуют большой полосы от конечного пользователя. Но обязательным условием является подстановка адреса атакуемого ресурса в качестве source-ip. Аналогично syn-flood, где "разнообразие" source-ip есть "плюс". Да и многие другие атаки подразумевают фейковые source-ip, дабы сложнее было вычислить источники атаки. Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

[Negator]

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Т.е. дропать значительное превышение "нормы" (но лучше для экосистемы класть порт минут на 5)

Хм, а на коммутаторах доступа такое реально реализовать?

По идее можно попробовать.

Есть идеи?

[andryas]

Хм, а на коммутаторах доступа такое реально реализовать?

 

Большинство умеет, в отличии от rpf-check, последнее есть в комутаторах посерьёзней

 

Есть идеи?

 

Общий ППС, только дроп лишнего, практика показывает, что в 99% случаев абонент не замчает таких ограничений:

 

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

 

Это для 100 мбит, для других скоростей цифры можна подкорректировать. В любом случае полезно, т.к. от абонента уже не прилетит ненароком 50+ kpps ;)

[mcdemon]

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

это unknown unicast, вообще не в тему тут)

[pppoetest]

UDP пакеты без указания src/dst port содержимое пакета = [0-9a-zA-Z] в последовательности аски кодов, src ip от Китая до США.

 

Угу. Рекомендую всем присутствующим резать хотя-бы ППС от клиента.

Мало чем помогает при дыдосе от ботосети исчисляемой сотней тысяч единиц.

 

Потому банальный rpf-check strict mode на включения конечных пользователей imho был бы куда эффективней соблюдения "нормы по больнице" зарезанием всего без разбору

+1

 

Циска storm-control unicast level pps 15360 5120

Длинк config traffic control enable unicast unicast_threshold 15360 countdown 5

Трафик контроль включен с самого начала, но чем это мешает боту на абоне долбить конкретный ip?

 

это unknown unicast, вообще не в тему тут)

+1

[GateKeeper]

А банальный фильтр на агрегации или бордере вида drop src_ip !<my_networks> сильно положит проц? Я к тому, что, если уж на доступе нет возможности включить, то, хотя бы на интере/агрегации можно резать "не наше" там, где его быть не может.