[Jora_Cornev]

Поделитесь BEST практикой.

Кто как в своей сети определяет DDOS атаки.

Интересует как из вне, так и внутри сети.

Изменено 7 апреля, 2016 пользователем Jora_Cornev

[h3ll1]

Скрипт смотрит за PPS и если идет DDOS > null0 kak /32 и ждем пока перестанет. Так у меня в линукс.

[dazgluk]

Собираем с бордеров семплированный netflow, дальше отправляем на nfsen с плагином flowdoh.

При превышении пределов, приходит письмо-алерт от плагина.

При желании, можно поднять на сервере кваггу и сделать RTBH.

Но иногда DOOS совсем не большие, 1-2gb/s, 200-300kpps, такие проще простоять

[dmvy]

анализировать sflow/netflow. Критерий: количество трафика и flows на абонента.

[h1vs2]

Есть замечательный продукт fastnetmon https://github.com/pavel-odintsov/fastnetmon

Автор есть на форуме : http://forum.nag.ru/forum/index.php?showtopic=89703&hl=fastnetmon&st=0

 

Он умеет netflow/ipfix/sflow коллекторы, соотвественно анализирует mbps, pps, flows и может заносить сведения об атаках в лог(локальный, mongodb, redis) и через ExaBGP или GoBGP делать blackhole. Ну и кроме того через pfring, netmap, pcapd может делать аля DPI и детектить всякие tcpsyn flood, dns/ntp amplification и через тот же exabgp можно даже flowspec правила слать.

[Megas]

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

[DimaM]

SSH Intrusion Detection Using NetFlow and IPFIX

[dmvy]

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

тот же самый ответ. анализировать sflow. фильтровать по портам, которые сканируют. блокировать, если пытается сканировать несколько ip-адресов.

вот пример sample rate 4096, интервал сброса 60 секунд:

$ ./analyze.py
<Group: total;  Bytes: 0;       Packets: 0;     Samples: 0;     Flows: 0;       Rate_avg: 0;    Circuits: 18>
Statistics by source ip address and port scan:
===== IP:    54.200.190.203     Speed:    0 Mbit/s       Flows:3
tcp        54.200.190.203:39817 ->          87.224.194.43:25       0Mbit
tcp        54.200.190.203:43411 ->          87.224.190.81:25       0Mbit
tcp        54.200.190.203:49495 ->         87.224.187.168:25       0Mbit
===== IP:       5.56.213.24     Speed:    0 Mbit/s       Flows:3
tcp           5.56.213.24:57279 ->          90.157.41.213:3389     0Mbit
tcp           5.56.213.24:39991 ->          90.157.41.213:3389     0Mbit
tcp           5.56.213.24:63170 ->          90.157.99.236:3389     0Mbit
===== IP:   104.151.161.109     Speed:    0 Mbit/s       Flows:2
tcp       104.151.161.109:3092  ->         188.73.172.148:3128     0Mbit
tcp       104.151.161.109:3644  ->         188.73.172.148:3128     0Mbit
===== IP:    212.129.26.206     Speed:    0 Mbit/s       Flows:2
tcp        212.129.26.206:61092 ->          92.54.115.239:22       0Mbit
tcp        212.129.26.206:54389 ->           92.54.74.128:22       0Mbit
===== IP:   213.152.162.134     Speed:    0 Mbit/s       Flows:2
tcp       213.152.162.134:5120  ->         188.73.172.148:3128     0Mbit
tcp       213.152.162.134:34528 ->         188.73.172.148:3128     0Mbit

Statistics by source ip address and port scan:
===== IP:    149.202.147.75     Speed:    0 Mbit/s       Flows:3
tcp        149.202.147.75:54112 ->          90.157.14.233:3389     0Mbit
tcp        149.202.147.75:55679 ->          90.157.41.213:3389     0Mbit
tcp        149.202.147.75:55486 ->          90.157.79.153:3389     0Mbit
===== IP:    112.95.160.228     Speed:    0 Mbit/s       Flows:3
tcp        112.95.160.228:61896 ->         87.224.140.165:22       0Mbit
tcp        112.95.160.228:61896 ->         87.224.147.197:22       0Mbit
tcp        112.95.160.228:61896 ->         87.224.226.199:22       0Mbit
===== IP:      58.221.49.78     Speed:    0 Mbit/s       Flows:2
tcp          58.221.49.78:63652 ->         188.73.172.148:3128     0Mbit
tcp          58.221.49.78:64340 ->         188.73.172.148:3128     0Mbit
===== IP:     36.227.154.26     Speed:    0 Mbit/s       Flows:2
tcp         36.227.154.26:23848 ->         90.157.105.170:23       0Mbit
tcp         36.227.154.26:60136 ->          90.157.105.59:23       0Mbit
===== IP:     185.25.205.17     Speed:    0 Mbit/s       Flows:1
tcp         185.25.205.17:62469 ->         188.73.172.148:3128     0Mbit

Statistics by source ip address and port scan:
===== IP:    93.171.173.153     Speed:    0 Mbit/s       Flows:2
tcp        93.171.173.153:51721 ->         87.224.210.222:3389     0Mbit
tcp        93.171.173.153:50515 ->         87.224.157.231:3389     0Mbit
===== IP:    192.228.79.201     Speed:    0 Mbit/s       Flows:2
udp        192.228.79.201:61170 ->         213.142.62.195:19       0Mbit
udp        192.228.79.201:11327 ->         213.142.62.195:19       0Mbit
===== IP:   213.152.162.134     Speed:    0 Mbit/s       Flows:2
tcp       213.152.162.134:36613 ->         188.73.172.148:3128     0Mbit
tcp       213.152.162.134:55731 ->         188.73.172.148:3128     0Mbit
===== IP:    149.202.147.75     Speed:    0 Mbit/s       Flows:2
tcp        149.202.147.75:65094 ->          90.157.43.108:3389     0Mbit
tcp        149.202.147.75:49585 ->          90.157.79.153:3389     0Mbit
===== IP:      95.78.78.143     Speed:    0 Mbit/s       Flows:2
tcp          95.78.78.143:2037  ->           92.54.109.18:3389     0Mbit
tcp          95.78.78.143:1166  ->           92.54.109.18:3389     0Mbit

и так постепенно наполняем список ip-адресов сканирующих.

[Jora_Cornev]

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

[FATHER_FBI]

WanGuard

Стоит 49$ в месяц, но тут решать вам, что для вас выгодней, оплачивать трафик пришедший в виде DDOS и выслушивать негатив от пользователей или же можете поставить FastNetMon, он в принципе тоже хорош, но по функциям, примерно 5% всех возможностей WanGuard

[Megas]

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала.

В остальных случаях это только платные решения которые занимаются анализом flow потоков.

 

У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации?

Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации?

[FATHER_FBI]

у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети...

может у кого есть решение под рукой?

 

Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы!

Создайте отделенную тему со своей проблемой, и мы с радостью её осудим.

Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала.

В остальных случаях это только платные решения которые занимаются анализом flow потоков.

 

У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации?

Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации?

1. Работать по схеме 1 клиент = 1 IP, что бы можно было в дыру кидать.

2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман)

3. DDOS-ить в ответ что бы убить ботов.

Изменено 9 апреля, 2016 пользователем FATHER_FBI

[pavel.odintsov]

h1vs2, спасибо за промо проекта :)

 

Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик.

 

Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов.

 

Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :)

[FATHER_FBI]

h1vs2, спасибо за промо проекта :)

 

Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик.

 

Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов.

 

Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :)

Павел а можно ссылку на список героев с FlowSpec?

[pavel.odintsov]

Там пока лишь Раском и Ретн: http://www.stableit.ru/2016/04/flow-spec.html :)

[h1vs2]

2 pavel.odintsov

 

Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче).

 

Спасибо!

[myst]

2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман)

зачем все? достаточно что бы flowspec умели конкретные аплинки.

[h1vs2]

Fiord недавно отписал на запрос, что уже готов тестировать flowspec.

[DimaM]

достаточно что бы flowspec умели конкретные аплинки

 

flowspec лучше чем ничего, но тоже не панацея, возможности его настройки сильно ограничены

[pavel.odintsov]

2 pavel.odintsov

 

Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче).

 

Спасибо!

 

Приветствую!

 

Кейс хороший. Но очень сложный для текущей логики FNM, пока такое лучше делать, наверное, вручную либо с помощью чего-то типа Net Healer от Vicente De Luca.

[yazero]

добрый день коллеги

 

вопрос по fastnetmon есть.

привязал его к netflow с пограничного роутера.

долго не мог раздублить почему он показывает скорости выше раза в два реальной, но затем поменял параметр отвечающий за частоту сбора данных, и выставил на 1 с. есть sflow с коммутатора но пока не работает .

 

сам вопрос

в файле networks_list указал свои сети. получаю сработку и в этот момент сохранаяется дамп. кто в этом случается занимается udp_flood , по чем парсить , где почитать ?

к примеру вот часть заголовка

 

IP: 91.197.76.254

Attack type: udp_flood

Initial attack power: 31723 packets per second

Peak attack power: 31723 packets per second

2016-05-28 01:26:36.817339 77.247.233.1:0 > 91.197.76.254:0 protocol: icmp frag: 0 packets: 1 size: 96 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.105330 96.7.49.129:53 > 91.197.76.254:51368 protocol: udp frag: 0 packets: 1 size: 144 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.105330 96.7.50.128:53 > 91.197.76.254:55369 protocol: udp frag: 0 packets: 1 size: 164 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.121333 95.100.173.129:53 > 91.197.76.254:31442 protocol: udp frag: 0 packets: 1 size: 148 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.137388 84.53.139.129:53 > 91.197.76.254:63541 protocol: udp frag: 0 packets: 1 size: 94 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.465330 174.35.36.46:53161 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.513332 174.35.21.42:43458 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.529330 123.30.183.14:34284 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1

2016-05-28 01:26:37.545332 124.40.233.147:44196 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio:

---часть файла порезана ---

 

 

И второй вопрос , если кто-то сканирует мою сеть по 5060 порту , я вижу это по алертам в nfsen , это можно увидеть в FNM ?

ddos.tar

Изменено 30 мая, 2016 пользователем yazero

[pavel.odintsov]

Приветсвтую!

 

Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :)

 

Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент.

 

Приветсвтую!

 

Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :)

 

Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент.

[RN3DCX]

Кстити, а не кто не юзал Cisco MARS ?

Вроде как написано на сайте: Система мониторинга, анализа и ответной реакции Cisco MARS.