swat11 Posted April 11, 2019 Posted April 11, 2019 Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета. В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется. Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100% Подскажите, как можно с этим бороться, гугл не особо помог. Вставить ник Quote
alibek Posted April 11, 2019 Posted April 11, 2019 Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен. В простых случаях может помочь настройка и ACL. В сложных случаях поможет только канал и оборудование, способное переварить атаку. Спросите у магистрала, они иногда предлагают свою защиту. Вставить ник Quote
moro Posted April 11, 2019 Posted April 11, 2019 11 minutes ago, swat11 said: Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета. В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется. Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100% Подскажите, как можно с этим бороться, гугл не особо помог. вы анализируете flow? Вставить ник Quote
Butch3r Posted April 11, 2019 Posted April 11, 2019 К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая... Только show ip flow top-talkers искать кого ддосят. Вставить ник Quote
ShyLion Posted April 11, 2019 Posted April 11, 2019 Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая. Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null) Вставить ник Quote
swat11 Posted April 11, 2019 Author Posted April 11, 2019 1 час назад, alibek сказал: Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен. В простых случаях может помочь настройка и ACL. В сложных случаях поможет только канал и оборудование, способное переварить атаку. Спросите у магистрала, они иногда предлагают свою защиту. Понял, запрошу инфу у магистрала 1 час назад, moro сказал: вы анализируете flow? Нет, но уже занимаюсь настройкой 1 час назад, Butch3r сказал: К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая... Только show ip flow top-talkers искать кого ддосят. Вот и гугл тоже молчит. В планах был переход на Juniper MX, там вроде как есть настройки для защиты 4 минуты назад, ShyLion сказал: Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая. Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null) В этом и проблема, что потребуется время на всё это, а атака идёт около 2-3 минут и прекращается Вставить ник Quote
ShyLion Posted April 11, 2019 Posted April 11, 2019 Фарш невозможно провернуть назад, а фреймы в провода. Без услуги вышестоящего ничего не сделаете. Вставить ник Quote
moro Posted April 11, 2019 Posted April 11, 2019 Зная атакуемый IP и тип атаки (протокол/порты) появляется варианты того как поступить. Да, так как порт заливают, на своей стороны зафильтровывать трафик бесполезно, но есть возможность использования bgp blackhole комьюнити апстрима. Часть апстримов предоставлет возможность "умного блекхола", когда зарезается/ограничивается трафик известных аплификационных атак. (DNS/NTP флуд и т.д.). Вставить ник Quote
crank Posted April 11, 2019 Posted April 11, 2019 Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP. Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow. Вставить ник Quote
EvgeniySerb Posted April 11, 2019 Posted April 11, 2019 А почему решили что это ddos вообще ? 7200 можно положить torrentом сегодня . Потратить надо пару баксов на asr1k бу с eBay и смотреть дальше . 72 отправить на пенсию надо было б ещё лет 10 назад Вставить ник Quote
Andrei Posted April 12, 2019 Posted April 12, 2019 3 часа назад, EvgeniySerb сказал: 7200 можно положить torrentом сегодня У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? 3 часа назад, EvgeniySerb сказал: Потратить надо пару баксов на asr1k бу с eBay Пруфы будут? Вставить ник Quote
EDA_SPB Posted April 12, 2019 Posted April 12, 2019 Я с некоторых пор стараюсь публичные ресурсы типа web хостинга, dns для зон и т.д. выносить на внение площадки. Если нет такой возможности, прикрывать ресурсами типа CloudFlare. Даже бесплатные аккаунты заметно помогают. Вставить ник Quote
EvgeniySerb Posted April 12, 2019 Posted April 12, 2019 45 minutes ago, Andrei said: У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? Пруфы будут? Пруфы чего ? Вставить ник Quote
Butch3r Posted April 12, 2019 Posted April 12, 2019 2 часа назад, Andrei сказал: У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? Пока в неё что-нибудь не прилетело. А так да - вполне себе аппарат. Про профу - ну напишите на ebay asr1002-f Вставить ник Quote
swat11 Posted April 12, 2019 Author Posted April 12, 2019 16 часов назад, crank сказал: Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP. Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow. Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками. Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Адреса естественно с разных стран включая РФ. Вставить ник Quote
Andrei Posted April 12, 2019 Posted April 12, 2019 12 часов назад, Butch3r сказал: Про профу - ну напишите на ebay asr1002-f За пару баксов ничего не находится. 13 часов назад, EvgeniySerb сказал: Пруфы чего ? Вот этого: "Потратить надо пару баксов на asr1k бу с eBay" Вставить ник Quote
vurd Posted April 13, 2019 Posted April 13, 2019 Ну тысяч, пару тысяч баксов. До столба ...лся Вставить ник Quote
Atlant Posted April 13, 2019 Posted April 13, 2019 18 hours ago, swat11 said: Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками. Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Адреса естественно с разных стран включая РФ. Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака). П.с. С такими проблемами помогает бороться провайдер поддерживающий flowspec. Вставить ник Quote
vurd Posted April 13, 2019 Posted April 13, 2019 1 минуту назад, Atlant сказал: Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака). П.с. С такими проблемами помогает бороться провайдер поддерживающий flowspec. Мне кажется, что можно /32 своего роутера спокойно с блекхол коммунити отправлять, по идеи ничего не должно отъехать, кроме трассировок извне. Вставить ник Quote
alibek Posted April 13, 2019 Posted April 13, 2019 Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP. Вставить ник Quote
vurd Posted April 13, 2019 Posted April 13, 2019 31 минуту назад, alibek сказал: Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP. 19 часов назад, swat11 сказал: Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Вставить ник Quote
YuryD Posted April 13, 2019 Posted April 13, 2019 ddos-ят редко сети, скорее какой-нибудь 1-2 ip. Самому под ддосом выстоять сложно, но у меня аплинки всегда помогали, блекхолили. Ну и светить ip маршрутизаторов = облегчить работу какеров. И тут еще 50/50, что атака изнутри/снаружи. Вставить ник Quote
semop Posted January 10, 2020 Posted January 10, 2020 Здрасьте. Подскажите пожалуйста... В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо) Лаба на длинках. Схема: хост(хакер) - свич - свич - свич - хост(белый пушистый ноут) Включено: Command: show dos_prevention Trap/Log :Enabled DoS Type State Action Frame Counts -------------------------- -------- ---------------- ------------ Land Attack Enabled Drop 0 Blat Attack Enabled Drop 1832 Smurf Attack Enabled Drop 0 TCP Null Scan Enabled Drop 0 TCP Xmascan Enabled Drop 0 TCP SYNFIN Enabled Drop 0 TCP SYN SrcPort less 1024 Disabled Drop 0 Без этой команды "хакер" может положить свичик в 100% цпу. С ней вроде даже фильтруется и сервисы работают. В логах вижу мои инициализированные трапы по атакам. Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке? Первый свич не успевает? Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит. Пробовал цепочки на des и dgs. Круче нету. Вставить ник Quote
VolanD666 Posted January 10, 2020 Posted January 10, 2020 9 минут назад, semop сказал: Здрасьте. Подскажите пожалуйста... В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо) Лаба на длинках. Схема: хост(хакер) - свич - свич - свич - хост(белый пушистый ноут) Включено: Command: show dos_prevention Trap/Log :Enabled DoS Type State Action Frame Counts -------------------------- -------- ---------------- ------------ Land Attack Enabled Drop 0 Blat Attack Enabled Drop 1832 Smurf Attack Enabled Drop 0 TCP Null Scan Enabled Drop 0 TCP Xmascan Enabled Drop 0 TCP SYNFIN Enabled Drop 0 TCP SYN SrcPort less 1024 Disabled Drop 0 Без этой команды "хакер" может положить свичик в 100% цпу. С ней вроде даже фильтруется и сервисы работают. В логах вижу мои инициализированные трапы по атакам. Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке? Первый свич не успевает? Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит. Пробовал цепочки на des и dgs. Круче нету. А как клиент ваще добрался до control-plane свича? Вставить ник Quote
semop Posted January 10, 2020 Posted January 10, 2020 6 минут назад, VolanD666 сказал: А как клиент это я Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.