Jora_Cornev Опубликовано 7 апреля, 2016 (изменено) · Жалоба Поделитесь BEST практикой. Кто как в своей сети определяет DDOS атаки. Интересует как из вне, так и внутри сети. Изменено 7 апреля, 2016 пользователем Jora_Cornev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 8 апреля, 2016 · Жалоба Скрипт смотрит за PPS и если идет DDOS > null0 kak /32 и ждем пока перестанет. Так у меня в линукс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 8 апреля, 2016 · Жалоба Собираем с бордеров семплированный netflow, дальше отправляем на nfsen с плагином flowdoh. При превышении пределов, приходит письмо-алерт от плагина. При желании, можно поднять на сервере кваггу и сделать RTBH. Но иногда DOOS совсем не большие, 1-2gb/s, 200-300kpps, такие проще простоять Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 апреля, 2016 · Жалоба анализировать sflow/netflow. Критерий: количество трафика и flows на абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 8 апреля, 2016 · Жалоба Есть замечательный продукт fastnetmon https://github.com/pavel-odintsov/fastnetmon Автор есть на форуме : http://forum.nag.ru/forum/index.php?showtopic=89703&hl=fastnetmon&st=0 Он умеет netflow/ipfix/sflow коллекторы, соотвественно анализирует mbps, pps, flows и может заносить сведения об атаках в лог(локальный, mongodb, redis) и через ExaBGP или GoBGP делать blackhole. Ну и кроме того через pfring, netmap, pcapd может делать аля DPI и детектить всякие tcpsyn flood, dns/ntp amplification и через тот же exabgp можно даже flowspec правила слать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 8 апреля, 2016 · Жалоба у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 8 апреля, 2016 · Жалоба SSH Intrusion Detection Using NetFlow and IPFIX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 апреля, 2016 · Жалоба у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? тот же самый ответ. анализировать sflow. фильтровать по портам, которые сканируют. блокировать, если пытается сканировать несколько ip-адресов. вот пример sample rate 4096, интервал сброса 60 секунд: $ ./analyze.py <Group: total; Bytes: 0; Packets: 0; Samples: 0; Flows: 0; Rate_avg: 0; Circuits: 18> Statistics by source ip address and port scan: ===== IP: 54.200.190.203 Speed: 0 Mbit/s Flows:3 tcp 54.200.190.203:39817 -> 87.224.194.43:25 0Mbit tcp 54.200.190.203:43411 -> 87.224.190.81:25 0Mbit tcp 54.200.190.203:49495 -> 87.224.187.168:25 0Mbit ===== IP: 5.56.213.24 Speed: 0 Mbit/s Flows:3 tcp 5.56.213.24:57279 -> 90.157.41.213:3389 0Mbit tcp 5.56.213.24:39991 -> 90.157.41.213:3389 0Mbit tcp 5.56.213.24:63170 -> 90.157.99.236:3389 0Mbit ===== IP: 104.151.161.109 Speed: 0 Mbit/s Flows:2 tcp 104.151.161.109:3092 -> 188.73.172.148:3128 0Mbit tcp 104.151.161.109:3644 -> 188.73.172.148:3128 0Mbit ===== IP: 212.129.26.206 Speed: 0 Mbit/s Flows:2 tcp 212.129.26.206:61092 -> 92.54.115.239:22 0Mbit tcp 212.129.26.206:54389 -> 92.54.74.128:22 0Mbit ===== IP: 213.152.162.134 Speed: 0 Mbit/s Flows:2 tcp 213.152.162.134:5120 -> 188.73.172.148:3128 0Mbit tcp 213.152.162.134:34528 -> 188.73.172.148:3128 0Mbit Statistics by source ip address and port scan: ===== IP: 149.202.147.75 Speed: 0 Mbit/s Flows:3 tcp 149.202.147.75:54112 -> 90.157.14.233:3389 0Mbit tcp 149.202.147.75:55679 -> 90.157.41.213:3389 0Mbit tcp 149.202.147.75:55486 -> 90.157.79.153:3389 0Mbit ===== IP: 112.95.160.228 Speed: 0 Mbit/s Flows:3 tcp 112.95.160.228:61896 -> 87.224.140.165:22 0Mbit tcp 112.95.160.228:61896 -> 87.224.147.197:22 0Mbit tcp 112.95.160.228:61896 -> 87.224.226.199:22 0Mbit ===== IP: 58.221.49.78 Speed: 0 Mbit/s Flows:2 tcp 58.221.49.78:63652 -> 188.73.172.148:3128 0Mbit tcp 58.221.49.78:64340 -> 188.73.172.148:3128 0Mbit ===== IP: 36.227.154.26 Speed: 0 Mbit/s Flows:2 tcp 36.227.154.26:23848 -> 90.157.105.170:23 0Mbit tcp 36.227.154.26:60136 -> 90.157.105.59:23 0Mbit ===== IP: 185.25.205.17 Speed: 0 Mbit/s Flows:1 tcp 185.25.205.17:62469 -> 188.73.172.148:3128 0Mbit Statistics by source ip address and port scan: ===== IP: 93.171.173.153 Speed: 0 Mbit/s Flows:2 tcp 93.171.173.153:51721 -> 87.224.210.222:3389 0Mbit tcp 93.171.173.153:50515 -> 87.224.157.231:3389 0Mbit ===== IP: 192.228.79.201 Speed: 0 Mbit/s Flows:2 udp 192.228.79.201:61170 -> 213.142.62.195:19 0Mbit udp 192.228.79.201:11327 -> 213.142.62.195:19 0Mbit ===== IP: 213.152.162.134 Speed: 0 Mbit/s Flows:2 tcp 213.152.162.134:36613 -> 188.73.172.148:3128 0Mbit tcp 213.152.162.134:55731 -> 188.73.172.148:3128 0Mbit ===== IP: 149.202.147.75 Speed: 0 Mbit/s Flows:2 tcp 149.202.147.75:65094 -> 90.157.43.108:3389 0Mbit tcp 149.202.147.75:49585 -> 90.157.79.153:3389 0Mbit ===== IP: 95.78.78.143 Speed: 0 Mbit/s Flows:2 tcp 95.78.78.143:2037 -> 92.54.109.18:3389 0Mbit tcp 95.78.78.143:1166 -> 92.54.109.18:3389 0Mbit и так постепенно наполняем список ip-адресов сканирующих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 8 апреля, 2016 · Жалоба у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 8 апреля, 2016 · Жалоба WanGuard Стоит 49$ в месяц, но тут решать вам, что для вас выгодней, оплачивать трафик пришедший в виде DDOS и выслушивать негатив от пользователей или же можете поставить FastNetMon, он в принципе тоже хорош, но по функциям, примерно 5% всех возможностей WanGuard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 9 апреля, 2016 · Жалоба у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала. В остальных случаях это только платные решения которые занимаются анализом flow потоков. У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации? Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 9 апреля, 2016 (изменено) · Жалоба у меня тут другая напасть, как вот детектить глобальные брутфорсы на все сети... может у кого есть решение под рукой? Megas, не уважительно с вашей стороны лесть со своими проблемами в чужие темы! Создайте отделенную тему со своей проблемой, и мы с радостью её осудим. Согласен с вами, извиняюсь, но ваша тема она уже давно устарела, после того как есть fastnetmon и nfsen она себя исчерпала. В остальных случаях это только платные решения которые занимаются анализом flow потоков. У меня к вам встречный вопрос, ну задетектили вы дос и что дальше? Вот жизненый пример, льют 20ГБ, blackhole делать крайне не желательно, пострадают очень много клиентов, что делать в такой ситуации? Ваши внешние аплинки завалены, за overlimit вам уже операторы выставляют приличные счета, что вы будете делать в этой ситуации? 1. Работать по схеме 1 клиент = 1 IP, что бы можно было в дыру кидать. 2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман) 3. DDOS-ить в ответ что бы убить ботов. Изменено 9 апреля, 2016 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 10 апреля, 2016 · Жалоба h1vs2, спасибо за промо проекта :) Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик. Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов. Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 10 апреля, 2016 · Жалоба h1vs2, спасибо за промо проекта :) Да, FNM вполне неплохо фиксирует залив конкретного клиента флудом. А что делать дальше - уже сугубо личная проблема каждого. Можно отправить всю /24 в облако для фильтрации, можно выбросить флоу спек. Благо, если РЕТН или Раском в апстримах - они дают эту фичу за небольшую денюжку. Да и сам FNM зачастую может определить тип наливаемого мусора и выбросить соотвествующее узко специфилизированное правило оператору, чтобы срезать лишь грязный трафик. Кроме этого, тот же РЕТН дает коммунити 667 и 668, которые мочат либо весь юдп трафик либо трафик юдп популярных амплифаер портов. Голосуйте кошельком. Если провайдер не поддерживает фильтрацию ддос - двигайтесь к альтернативным провайдерам, кто дает эту возможность. Выше приведенный список вовсе не полный - если кто-то еще начал давать флоу спек для всех как комм-услугу - прошу добавить в список - я в блоге держу список таких героев :) Павел а можно ссылку на список героев с FlowSpec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 10 апреля, 2016 · Жалоба Там пока лишь Раском и Ретн: http://www.stableit.ru/2016/04/flow-spec.html :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 11 апреля, 2016 · Жалоба 2 pavel.odintsov Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче). Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 11 апреля, 2016 · Жалоба 2. Ждать 20-50 лет, когда все магистралы обзаведутся оборудованием с поддержкой BGP FlowSpec (на данном этапе они это не охотно делают, так как DDOS в сторону клиента, денюжки в карман) зачем все? достаточно что бы flowspec умели конкретные аплинки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 11 апреля, 2016 · Жалоба Fiord недавно отписал на запрос, что уже готов тестировать flowspec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 11 апреля, 2016 · Жалоба достаточно что бы flowspec умели конкретные аплинки flowspec лучше чем ничего, но тоже не панацея, возможности его настройки сильно ограничены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 11 апреля, 2016 · Жалоба 2 pavel.odintsov Подскажите, можно ли где-то посмотреть список, что FNM может детектить на основе информации из IPFIX? Хотелось бы вот какой механизм : если тип атаке известен и ее значения по mbps/pps не привышает заданный порог - делать flowspec, ежели привышает делать blackhole + flowspec(зачем нужен комбинированный вариант : ну наприме атака идет из IX, там blackhole комьюнити попросту не работает, можно просто нулить, но хотелось бы быть гибче). Спасибо! Приветствую! Кейс хороший. Но очень сложный для текущей логики FNM, пока такое лучше делать, наверное, вручную либо с помощью чего-то типа Net Healer от Vicente De Luca. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yazero Опубликовано 30 мая, 2016 (изменено) · Жалоба добрый день коллеги вопрос по fastnetmon есть. привязал его к netflow с пограничного роутера. долго не мог раздублить почему он показывает скорости выше раза в два реальной, но затем поменял параметр отвечающий за частоту сбора данных, и выставил на 1 с. есть sflow с коммутатора но пока не работает . сам вопрос в файле networks_list указал свои сети. получаю сработку и в этот момент сохранаяется дамп. кто в этом случается занимается udp_flood , по чем парсить , где почитать ? к примеру вот часть заголовка IP: 91.197.76.254 Attack type: udp_flood Initial attack power: 31723 packets per second Peak attack power: 31723 packets per second 2016-05-28 01:26:36.817339 77.247.233.1:0 > 91.197.76.254:0 protocol: icmp frag: 0 packets: 1 size: 96 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.105330 96.7.49.129:53 > 91.197.76.254:51368 protocol: udp frag: 0 packets: 1 size: 144 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.105330 96.7.50.128:53 > 91.197.76.254:55369 protocol: udp frag: 0 packets: 1 size: 164 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.121333 95.100.173.129:53 > 91.197.76.254:31442 protocol: udp frag: 0 packets: 1 size: 148 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.137388 84.53.139.129:53 > 91.197.76.254:63541 protocol: udp frag: 0 packets: 1 size: 94 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.465330 174.35.36.46:53161 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.513332 174.35.21.42:43458 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.529330 123.30.183.14:34284 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: 1 2016-05-28 01:26:37.545332 124.40.233.147:44196 > 91.197.76.254:33434 protocol: udp frag: 0 packets: 1 size: 92 bytes ttl: 0 sample ratio: ---часть файла порезана --- И второй вопрос , если кто-то сканирует мою сеть по 5060 порту , я вижу это по алертам в nfsen , это можно увидеть в FNM ? ddos.tar Изменено 30 мая, 2016 пользователем yazero Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 30 мая, 2016 · Жалоба Приветсвтую! Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :) Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент. Приветсвтую! Вопросы по FNM можно задавать в отдельной теме: http://forum.nag.ru/forum/index.php?showtopic=89703&st=480 :) Поймать такую атаку силами FNM можно лишь в случае, если она разогналась по пакетам/секунду выше порога. После этого соберется набор отпечатков пакетов, по которому можно понять, что конкретно делал клиент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 30 мая, 2016 · Жалоба Кстити, а не кто не юзал Cisco MARS ? Вроде как написано на сайте: Система мониторинга, анализа и ответной реакции Cisco MARS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...