Jump to content
Калькуляторы

DDos атаки

Поделитесь BEST практикой.

Кто как в своей сети определяет DDOS атаки.

Интересует как из вне, так и внутри сети.

Edited by Jora_Cornev

Share this post


Link to post
Share on other sites

Собираем с бордеров семплированный netflow, дальше отправляем на nfsen с плагином flowdoh.

При превышении пределов, приходит письмо-алерт от плагина.

При желании, можно поднять на сервере кваггу и сделать RTBH.

Но иногда DOOS совсем не большие, 1-2gb/s, 200-300kpps, такие проще простоять

Share this post


Link to post
Share on other sites

Есть замечательный продукт fastnetmon https://github.com/pavel-odintsov/fastnetmon

Автор есть на форуме : http://forum.nag.ru/forum/index.php?showtopic=89703&hl=fastnetmon&st=0

 

Он умеет netflow/ipfix/sflow коллекторы, соотвественно анализирует mbps, pps, flows и может заносить сведения об атаках в лог(локальный, mongodb, redis) и через ExaBGP или GoBGP делать blackhole. Ну и кроме того через pfring, netmap, pcapd может делать аля DPI и детектить всякие tcpsyn flood, dns/ntp amplification и через тот же exabgp можно даже flowspec правила слать.

Share this post


Link to post
Share on other sites

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

Share this post


Link to post
Share on other sites

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

тот же самый ответ. анализировать sflow. фильтровать по портам, которые сканируют. блокировать, если пытается сканировать несколько ip-адресов.

вот пример sample rate 4096, интервал сброса 60 секунд:

$ ./analyze.py
<Group: total;  Bytes: 0;       Packets: 0;     Samples: 0;     Flows: 0;       Rate_avg: 0;    Circuits: 18>
Statistics by source ip address and port scan:
===== IP:    54.200.190.203     Speed:    0 Mbit/s       Flows:3
tcp        54.200.190.203:39817 ->          87.224.194.43:25       0Mbit
tcp        54.200.190.203:43411 ->          87.224.190.81:25       0Mbit
tcp        54.200.190.203:49495 ->         87.224.187.168:25       0Mbit
===== IP:       5.56.213.24     Speed:    0 Mbit/s       Flows:3
tcp           5.56.213.24:57279 ->          90.157.41.213:3389     0Mbit
tcp           5.56.213.24:39991 ->          90.157.41.213:3389     0Mbit
tcp           5.56.213.24:63170 ->          90.157.99.236:3389     0Mbit
===== IP:   104.151.161.109     Speed:    0 Mbit/s       Flows:2
tcp       104.151.161.109:3092  ->         188.73.172.148:3128     0Mbit
tcp       104.151.161.109:3644  ->         188.73.172.148:3128     0Mbit
===== IP:    212.129.26.206     Speed:    0 Mbit/s       Flows:2
tcp        212.129.26.206:61092 ->          92.54.115.239:22       0Mbit
tcp        212.129.26.206:54389 ->           92.54.74.128:22       0Mbit
===== IP:   213.152.162.134     Speed:    0 Mbit/s       Flows:2
tcp       213.152.162.134:5120  ->         188.73.172.148:3128     0Mbit
tcp       213.152.162.134:34528 ->         188.73.172.148:3128     0Mbit

Statistics by source ip address and port scan:
===== IP:    149.202.147.75     Speed:    0 Mbit/s       Flows:3
tcp        149.202.147.75:54112 ->          90.157.14.233:3389     0Mbit
tcp        149.202.147.75:55679 ->          90.157.41.213:3389     0Mbit
tcp        149.202.147.75:55486 ->          90.157.79.153:3389     0Mbit
===== IP:    112.95.160.228     Speed:    0 Mbit/s       Flows:3
tcp        112.95.160.228:61896 ->         87.224.140.165:22       0Mbit
tcp        112.95.160.228:61896 ->         87.224.147.197:22       0Mbit
tcp        112.95.160.228:61896 ->         87.224.226.199:22       0Mbit
===== IP:      58.221.49.78     Speed:    0 Mbit/s       Flows:2
tcp          58.221.49.78:63652 ->         188.73.172.148:3128     0Mbit
tcp          58.221.49.78:64340 ->         188.73.172.148:3128     0Mbit
===== IP:     36.227.154.26     Speed:    0 Mbit/s       Flows:2
tcp         36.227.154.26:23848 ->         90.157.105.170:23       0Mbit
tcp         36.227.154.26:60136 ->          90.157.105.59:23       0Mbit
===== IP:     185.25.205.17     Speed:    0 Mbit/s       Flows:1
tcp         185.25.205.17:62469 ->         188.73.172.148:3128     0Mbit

Statistics by source ip address and port scan:
===== IP:    93.171.173.153     Speed:    0 Mbit/s       Flows:2
tcp        93.171.173.153:51721 ->         87.224.210.222:3389     0Mbit
tcp        93.171.173.153:50515 ->         87.224.157.231:3389     0Mbit
===== IP:    192.228.79.201     Speed:    0 Mbit/s       Flows:2
udp        192.228.79.201:61170 ->         213.142.62.195:19       0Mbit
udp        192.228.79.201:11327 ->         213.142.62.195:19       0Mbit
===== IP:   213.152.162.134     Speed:    0 Mbit/s       Flows:2
tcp       213.152.162.134:36613 ->         188.73.172.148:3128     0Mbit
tcp       213.152.162.134:55731 ->         188.73.172.148:3128     0Mbit
===== IP:    149.202.147.75     Speed:    0 Mbit/s       Flows:2
tcp        149.202.147.75:65094 ->          90.157.43.108:3389     0Mbit
tcp        149.202.147.75:49585 ->          90.157.79.153:3389     0Mbit
===== IP:      95.78.78.143     Speed:    0 Mbit/s       Flows:2
tcp          95.78.78.143:2037  ->           92.54.109.18:3389     0Mbit
tcp          95.78.78.143:1166  ->           92.54.109.18:3389     0Mbit

и так постепенно наполняем список ip-адресов сканирующих.

Share this post


Link to post
Share on other sites

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

Share this post


Link to post
Share on other sites

WanGuard

Стоит 49$ в месяц, но тут решать вам, что для вас выгодней, оплачивать трафик пришедший в виде DDOS и выслушивать негатив от пользователей или же можете поставить FastNetMon, он в принципе тоже хорош, но по функциям, примерно 5% всех возможностей WanGuard

Share this post


Link to post
Share on other sites

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала.

В остальных случаях это только платные решения которые занимаются анализом flow потоков.

 

У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации?

Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации?

Share this post


Link to post
Share on other sites

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала.

В остальных случаях это только платные решения которые занимаются анализом flow потоков.

 

У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации?

Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации?

1. Работать по схеме 1 клиент = 1 IP, что бы можно было в дыру кидать.

2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман)

3. DDOS-ить в ответ что бы убить ботов.

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

h1vs2, спасибо за промо проекта :)

 

Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик.

 

Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов.

 

Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :)

Share this post


Link to post
Share on other sites

h1vs2, спасибо за промо проекта :)

 

Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик.

 

Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов.

 

Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :)

Павел а можно ссылку на список героев с FlowSpec?

Share this post


Link to post
Share on other sites

Там пока лишь Раском и Ретн: http://www.stableit.ru/2016/04/flow-spec.html :)

Share this post


Link to post
Share on other sites

2 pavel.odintsov

 

Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче).

 

Спасибо!

Share this post


Link to post
Share on other sites

2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман)

зачем все? достаточно что бы flowspec умели конкретные аплинки.

Share this post


Link to post
Share on other sites

достаточно что бы flowspec умели конкретные аплинки

 

flowspec лучше чем ничего, но тоже не панацея, возможности его настройки сильно ограничены

Share this post


Link to post
Share on other sites

2 pavel.odintsov

 

Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче).

 

Спасибо!

 

Приветствую!

 

Кейс хороший. Но очень сложный для текущей логики FNM, пока такое лучше делать, наверное, вручную либо с помощью чего-то типа Net Healer от Vicente De Luca.

Share this post


Link to post
Share on other sites

добрый день коллеги

 

вопрос по fastnetmon есть.

привязал его к netflow с пограничного роутера.

долго не мог раздублить почему он показывает скорости выше раза в два реальной, но затем поменял параметр отвечающий за частоту сбора данных, и выставил на 1 с. есть sflow с коммутатора но пока не работает .

 

сам вопрос

в файле networks_list указал свои сети. получаю сработку и в этот момент сохранаяется дамп. кто в этом случается занимается udp_flood , по чем парсить , где почитать ?

к примеру вот часть заголовка

 

IP: 91.197.76.254

Attack type: udp_flood

Initial attack power: 31723 packets per second

Peak attack power: 31723 packets per second

2016-05-28 01:26:36.817339 77.247.233.1:0 > 91.197.76.254:0 protocol: icmp frag: 0 packets: 1 size: 96 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.105330 96.7.49.129:53 > 91.197.76.254:51368 protocol: udp frag: 0 packets: 1 size: 144 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.105330 96.7.50.128:53 > 91.197.76.254:55369 protocol: udp frag: 0 packets: 1 size: 164 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.121333 95.100.173.129:53 > 91.197.76.254:31442 protocol: udp frag: 0 packets: 1 size: 148 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.137388 84.53.139.129:53 > 91.197.76.254:63541 protocol: udp frag: 0 packets: 1 size: 94 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.465330 174.35.36.46:53161 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.513332 174.35.21.42:43458 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.529330 123.30.183.14:34284 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.545332 124.40.233.147:44196 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio:

---часть файла порезана ---

 

 

И второй вопрос , если кто-то сканирует мою сеть по 5060 порту , я вижу это по алертам в nfsen , это можно увидеть в FNM ?

ddos.tar

Edited by yazero

Share this post


Link to post
Share on other sites

Приветсвтую!

 

Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :)

 

Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент.

 

Приветсвтую!

 

Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :)

 

Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.