Jump to content
Калькуляторы

Защита от DDoS

Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета.

В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется.

Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100%

Подскажите, как можно с этим бороться, гугл не особо помог.

Share this post


Link to post
Share on other sites

Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен.

В простых случаях может помочь настройка и ACL.

В сложных случаях поможет только канал и оборудование, способное переварить атаку.

Спросите у магистрала, они иногда предлагают свою защиту.

Share this post


Link to post
Share on other sites
11 minutes ago, swat11 said:

Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета.

В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется.

Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100%

Подскажите, как можно с этим бороться, гугл не особо помог.

вы анализируете flow? 

Share this post


Link to post
Share on other sites

К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая...

Только show ip flow top-talkers искать кого ддосят.

Share this post


Link to post
Share on other sites

Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая.

Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null)

Share this post


Link to post
Share on other sites
1 час назад, alibek сказал:

Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен.

В простых случаях может помочь настройка и ACL.

В сложных случаях поможет только канал и оборудование, способное переварить атаку.

Спросите у магистрала, они иногда предлагают свою защиту.

Понял, запрошу инфу у магистрала

 

1 час назад, moro сказал:

вы анализируете flow? 

Нет, но уже занимаюсь настройкой

 

1 час назад, Butch3r сказал:

К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая...

Только show ip flow top-talkers искать кого ддосят.

Вот и гугл тоже молчит. В планах был переход на Juniper MX, там вроде как есть настройки для защиты

 

4 минуты назад, ShyLion сказал:

Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая.

Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null)

В этом и проблема, что потребуется время на всё это, а атака идёт около 2-3 минут и прекращается

Share this post


Link to post
Share on other sites

Фарш невозможно провернуть назад, а фреймы в провода. Без услуги вышестоящего ничего не сделаете.

Share this post


Link to post
Share on other sites

Зная атакуемый IP и тип атаки (протокол/порты) появляется варианты того как поступить.

Да, так как порт заливают, на своей стороны зафильтровывать трафик бесполезно, но есть возможность использования bgp blackhole комьюнити апстрима. Часть апстримов предоставлет возможность "умного блекхола", когда зарезается/ограничивается трафик известных аплификационных атак. (DNS/NTP флуд и т.д.).
 

Share this post


Link to post
Share on other sites

Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP.

 

Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow.

Share this post


Link to post
Share on other sites

А почему решили что это ddos вообще ? 7200 можно положить torrentом сегодня . Потратить надо пару баксов на asr1k бу с eBay и смотреть дальше . 72 отправить на пенсию надо было б ещё лет 10 назад 

Share this post


Link to post
Share on other sites
3 часа назад, EvgeniySerb сказал:

7200 можно положить torrentом сегодня

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

 

3 часа назад, EvgeniySerb сказал:

Потратить надо пару баксов на asr1k бу с eBay

Пруфы будут?

Share this post


Link to post
Share on other sites

Я с некоторых пор стараюсь публичные ресурсы типа web хостинга, dns для зон и т.д. выносить на внение площадки.

Если нет такой возможности, прикрывать ресурсами типа CloudFlare. Даже бесплатные аккаунты заметно помогают.

Share this post


Link to post
Share on other sites
45 minutes ago, Andrei said:

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

 

Пруфы будут?

Пруфы чего ? 

Share this post


Link to post
Share on other sites
2 часа назад, Andrei сказал:

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

Пока в неё что-нибудь не прилетело. А так да - вполне себе аппарат.

 

Про профу - ну напишите на ebay asr1002-f

Share this post


Link to post
Share on other sites
16 часов назад, crank сказал:

Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP.

 

Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow.

Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками.

 

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

Адреса естественно с разных стран включая РФ. 

Share this post


Link to post
Share on other sites
12 часов назад, Butch3r сказал:

Про профу - ну напишите на ebay asr1002-f

За пару баксов ничего не находится.

 

13 часов назад, EvgeniySerb сказал:

Пруфы чего ?

Вот этого: "Потратить надо пару баксов на asr1k бу с eBay"

Share this post


Link to post
Share on other sites

Ну тысяч, пару тысяч баксов. До столба ...лся

Share this post


Link to post
Share on other sites
18 hours ago, swat11 said:

Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками.

 

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

Адреса естественно с разных стран включая РФ. 

Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака).

 

П.с. 

 С такими проблемами помогает бороться провайдер поддерживающий flowspec.

Share this post


Link to post
Share on other sites
1 минуту назад, Atlant сказал:

Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака).

 

П.с. 

 С такими проблемами помогает бороться провайдер поддерживающий flowspec.

Мне кажется, что можно /32 своего роутера спокойно с блекхол коммунити отправлять, по идеи ничего не должно отъехать, кроме трассировок извне. 

Share this post


Link to post
Share on other sites

Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP.

Share this post


Link to post
Share on other sites
31 минуту назад, alibek сказал:

Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP.

 

19 часов назад, swat11 сказал:

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

 

Share this post


Link to post
Share on other sites

 ddos-ят редко сети, скорее какой-нибудь 1-2 ip. Самому под ддосом выстоять сложно, но у меня аплинки всегда помогали, блекхолили. Ну и светить ip маршрутизаторов = облегчить работу какеров. И тут еще 50/50, что атака изнутри/снаружи.

Share this post


Link to post
Share on other sites

Здрасьте.

 

Подскажите пожалуйста...

 

В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо)

Лаба на длинках.

Схема:

хост(хакер) - свич - свич - свич - хост(белый пушистый ноут)

 

Включено:

 

Command: show dos_prevention

Trap/Log   :Enabled

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              0           
Blat Attack                 Enabled   Drop              1832           
Smurf Attack                Enabled   Drop              0           
TCP Null Scan               Enabled   Drop              0           
TCP Xmascan                 Enabled   Drop              0           
TCP SYNFIN                  Enabled   Drop              0           
TCP SYN SrcPort less 1024   Disabled  Drop              0           

 

Без этой команды "хакер" может положить свичик в 100% цпу.

С ней вроде даже фильтруется и сервисы работают. 

 

В логах вижу мои инициализированные трапы по атакам.

 

Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке?

 

Первый свич не успевает?

Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит.

 

Пробовал цепочки на des и dgs. Круче нету.

 

 

 

 

Share this post


Link to post
Share on other sites
9 минут назад, semop сказал:

Здрасьте.

 

Подскажите пожалуйста...

 

В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо)

Лаба на длинках.

Схема:

хост(хакер) - свич - свич - свич - хост(белый пушистый ноут)

 

Включено:

 

Command: show dos_prevention

Trap/Log   :Enabled

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              0           
Blat Attack                 Enabled   Drop              1832           
Smurf Attack                Enabled   Drop              0           
TCP Null Scan               Enabled   Drop              0           
TCP Xmascan                 Enabled   Drop              0           
TCP SYNFIN                  Enabled   Drop              0           
TCP SYN SrcPort less 1024   Disabled  Drop              0           

 

Без этой команды "хакер" может положить свичик в 100% цпу.

С ней вроде даже фильтруется и сервисы работают. 

 

В логах вижу мои инициализированные трапы по атакам.

 

Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке?

 

Первый свич не успевает?

Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит.

 

Пробовал цепочки на des и dgs. Круче нету.

 

 

 

 

А как клиент ваще добрался до control-plane свича?

Share this post


Link to post
Share on other sites

 

6 минут назад, VolanD666 сказал:

А как клиент

это я

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now