Jora_Cornev Posted April 7, 2016 (edited) · Report post Поделитесь BEST практикой. Кто как в своей сети определяет DDOS атаки. Интересует как из вне, так и внутри сети. Edited April 7, 2016 by Jora_Cornev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted April 8, 2016 · Report post Скрипт смотрит за PPS и если идет DDOS > null0 kak /32 и ждем пока перестанет. Так у меня в линукс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dazgluk Posted April 8, 2016 · Report post Собираем с бордеров семплированный netflow, дальше отправляем на nfsen с плагином flowdoh. При превышении пределов, приходит письмо-алерт от плагина. При желании, можно поднять на сервере кваггу и сделать RTBH. Но иногда DOOS совсем не большие, 1-2gb/s, 200-300kpps, такие проще простоять Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted April 8, 2016 · Report post анализировать sflow/netflow. Критерий: количество трафика и flows на абонента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted April 8, 2016 · Report post Есть замечательный продукт fastnetmon https://github.com/pavel-odintsov/fastnetmon Автор есть на форуме : http://forum.nag.ru/forum/index.php?showtopic=89703&hl=fastnetmon&st=0 Он умеет netflow/ipfix/sflow коллекторы, соотвественно анализирует mbps, pps, flows и может заносить сведения об атаках в лог(локальный, mongodb, redis) и через ExaBGP или GoBGP делать blackhole. Ну и кроме того через pfring, netmap, pcapd может делать аля DPI и детектить всякие tcpsyn flood, dns/ntp amplification и через тот же exabgp можно даже flowspec правила слать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted April 8, 2016 · Report post у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted April 8, 2016 · Report post SSH Intrusion Detection Using NetFlow and IPFIX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted April 8, 2016 · Report post у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? тот же самый ответ. анализировать sflow. фильтровать по портам, которые сканируют. блокировать, если пытается сканировать несколько ip-адресов. вот пример sample rate 4096, интервал сброса 60 секунд: $ ./analyze.py <Group: total; Bytes: 0; Packets: 0; Samples: 0; Flows: 0; Rate_avg: 0; Circuits: 18> Statistics by source ip address and port scan: ===== IP: 54.200.190.203 Speed: 0 Mbit/s Flows:3 tcp 54.200.190.203:39817 -> 87.224.194.43:25 0Mbit tcp 54.200.190.203:43411 -> 87.224.190.81:25 0Mbit tcp 54.200.190.203:49495 -> 87.224.187.168:25 0Mbit ===== IP: 5.56.213.24 Speed: 0 Mbit/s Flows:3 tcp 5.56.213.24:57279 -> 90.157.41.213:3389 0Mbit tcp 5.56.213.24:39991 -> 90.157.41.213:3389 0Mbit tcp 5.56.213.24:63170 -> 90.157.99.236:3389 0Mbit ===== IP: 104.151.161.109 Speed: 0 Mbit/s Flows:2 tcp 104.151.161.109:3092 -> 188.73.172.148:3128 0Mbit tcp 104.151.161.109:3644 -> 188.73.172.148:3128 0Mbit ===== IP: 212.129.26.206 Speed: 0 Mbit/s Flows:2 tcp 212.129.26.206:61092 -> 92.54.115.239:22 0Mbit tcp 212.129.26.206:54389 -> 92.54.74.128:22 0Mbit ===== IP: 213.152.162.134 Speed: 0 Mbit/s Flows:2 tcp 213.152.162.134:5120 -> 188.73.172.148:3128 0Mbit tcp 213.152.162.134:34528 -> 188.73.172.148:3128 0Mbit Statistics by source ip address and port scan: ===== IP: 149.202.147.75 Speed: 0 Mbit/s Flows:3 tcp 149.202.147.75:54112 -> 90.157.14.233:3389 0Mbit tcp 149.202.147.75:55679 -> 90.157.41.213:3389 0Mbit tcp 149.202.147.75:55486 -> 90.157.79.153:3389 0Mbit ===== IP: 112.95.160.228 Speed: 0 Mbit/s Flows:3 tcp 112.95.160.228:61896 -> 87.224.140.165:22 0Mbit tcp 112.95.160.228:61896 -> 87.224.147.197:22 0Mbit tcp 112.95.160.228:61896 -> 87.224.226.199:22 0Mbit ===== IP: 58.221.49.78 Speed: 0 Mbit/s Flows:2 tcp 58.221.49.78:63652 -> 188.73.172.148:3128 0Mbit tcp 58.221.49.78:64340 -> 188.73.172.148:3128 0Mbit ===== IP: 36.227.154.26 Speed: 0 Mbit/s Flows:2 tcp 36.227.154.26:23848 -> 90.157.105.170:23 0Mbit tcp 36.227.154.26:60136 -> 90.157.105.59:23 0Mbit ===== IP: 185.25.205.17 Speed: 0 Mbit/s Flows:1 tcp 185.25.205.17:62469 -> 188.73.172.148:3128 0Mbit Statistics by source ip address and port scan: ===== IP: 93.171.173.153 Speed: 0 Mbit/s Flows:2 tcp 93.171.173.153:51721 -> 87.224.210.222:3389 0Mbit tcp 93.171.173.153:50515 -> 87.224.157.231:3389 0Mbit ===== IP: 192.228.79.201 Speed: 0 Mbit/s Flows:2 udp 192.228.79.201:61170 -> 213.142.62.195:19 0Mbit udp 192.228.79.201:11327 -> 213.142.62.195:19 0Mbit ===== IP: 213.152.162.134 Speed: 0 Mbit/s Flows:2 tcp 213.152.162.134:36613 -> 188.73.172.148:3128 0Mbit tcp 213.152.162.134:55731 -> 188.73.172.148:3128 0Mbit ===== IP: 149.202.147.75 Speed: 0 Mbit/s Flows:2 tcp 149.202.147.75:65094 -> 90.157.43.108:3389 0Mbit tcp 149.202.147.75:49585 -> 90.157.79.153:3389 0Mbit ===== IP: 95.78.78.143 Speed: 0 Mbit/s Flows:2 tcp 95.78.78.143:2037 -> 92.54.109.18:3389 0Mbit tcp 95.78.78.143:1166 -> 92.54.109.18:3389 0Mbit и так постепенно наполняем список ip-адресов сканирующих. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted April 8, 2016 · Report post у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted April 8, 2016 · Report post WanGuard Стоит 49$ в месяц, но тут решать вам, что для вас выгодней, оплачивать трафик пришедший в виде DDOS и выслушивать негатив от пользователей или же можете поставить FastNetMon, он в принципе тоже хорош, но по функциям, примерно 5% всех возможностей WanGuard Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted April 9, 2016 · Report post у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала. В остальных случаях это только платные решения которые занимаются анализом flow потоков. У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации? Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted April 9, 2016 (edited) · Report post у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала. В остальных случаях это только платные решения которые занимаются анализом flow потоков. У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации? Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации? 1. Работать по схеме 1 клиент = 1 IP, что бы можно было в дыру кидать. 2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман) 3. DDOS-ить в ответ что бы убить ботов. Edited April 9, 2016 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted April 10, 2016 · Report post h1vs2, спасибо за промо проекта :) Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик. Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов. Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted April 10, 2016 · Report post h1vs2, спасибо за промо проекта :) Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик. Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов. Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :) Павел а можно ссылку на список героев с FlowSpec? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted April 10, 2016 · Report post Там пока лишь Раском и Ретн: http://www.stableit.ru/2016/04/flow-spec.html :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted April 11, 2016 · Report post 2 pavel.odintsov Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче). Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted April 11, 2016 · Report post 2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман) зачем все? достаточно что бы flowspec умели конкретные аплинки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted April 11, 2016 · Report post Fiord недавно отписал на запрос, что уже готов тестировать flowspec. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DimaM Posted April 11, 2016 · Report post достаточно что бы flowspec умели конкретные аплинки flowspec лучше чем ничего, но тоже не панацея, возможности его настройки сильно ограничены Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted April 11, 2016 · Report post 2 pavel.odintsov Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче). Спасибо! Приветствую! Кейс хороший. Но очень сложный для текущей логики FNM, пока такое лучше делать, наверное, вручную либо с помощью чего-то типа Net Healer от Vicente De Luca. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yazero Posted May 30, 2016 (edited) · Report post добрый день коллеги вопрос по fastnetmon есть. привязал его к netflow с пограничного роутера. долго не мог раздублить почему он показывает скорости выше раза в два реальной, но затем поменял параметр отвечающий за частоту сбора данных, и выставил на 1 с. есть sflow с коммутатора но пока не работает . сам вопрос в файле networks_list указал свои сети. получаю сработку и в этот момент сохранаяется дамп. кто в этом случается занимается udp_flood , по чем парсить , где почитать ? к примеру вот часть заголовка IP: 91.197.76.254 Attack type: udp_flood Initial attack power: 31723 packets per second Peak attack power: 31723 packets per second 2016-05-28 01:26:36.817339 77.247.233.1:0 > 91.197.76.254:0 protocol: icmp frag: 0 packets: 1 size: 96 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.105330 96.7.49.129:53 > 91.197.76.254:51368 protocol: udp frag: 0 packets: 1 size: 144 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.105330 96.7.50.128:53 > 91.197.76.254:55369 protocol: udp frag: 0 packets: 1 size: 164 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.121333 95.100.173.129:53 > 91.197.76.254:31442 protocol: udp frag: 0 packets: 1 size: 148 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.137388 84.53.139.129:53 > 91.197.76.254:63541 protocol: udp frag: 0 packets: 1 size: 94 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.465330 174.35.36.46:53161 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.513332 174.35.21.42:43458 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.529330 123.30.183.14:34284 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.545332 124.40.233.147:44196 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: ---часть файла порезана --- И второй вопрос , если кто-то сканирует мою сеть по 5060 порту , я вижу это по алертам в nfsen , это можно увидеть в FNM ? ddos.tar Edited May 30, 2016 by yazero Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted May 30, 2016 · Report post Приветсвтую! Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :) Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент. Приветсвтую! Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :) Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted May 30, 2016 · Report post Кстити, а не кто не юзал Cisco MARS ? Вроде как написано на сайте: Система мониторинга, анализа и ответной реакции Cisco MARS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...