swat11 Опубликовано 11 апреля, 2019 · Жалоба Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета. В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется. Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100% Подскажите, как можно с этим бороться, гугл не особо помог. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 апреля, 2019 · Жалоба Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен. В простых случаях может помочь настройка и ACL. В сложных случаях поможет только канал и оборудование, способное переварить атаку. Спросите у магистрала, они иногда предлагают свою защиту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moro Опубликовано 11 апреля, 2019 · Жалоба 11 minutes ago, swat11 said: Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета. В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется. Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100% Подскажите, как можно с этим бороться, гугл не особо помог. вы анализируете flow? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 11 апреля, 2019 · Жалоба К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая... Только show ip flow top-talkers искать кого ддосят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 11 апреля, 2019 · Жалоба Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая. Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 11 апреля, 2019 · Жалоба 1 час назад, alibek сказал: Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен. В простых случаях может помочь настройка и ACL. В сложных случаях поможет только канал и оборудование, способное переварить атаку. Спросите у магистрала, они иногда предлагают свою защиту. Понял, запрошу инфу у магистрала 1 час назад, moro сказал: вы анализируете flow? Нет, но уже занимаюсь настройкой 1 час назад, Butch3r сказал: К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая... Только show ip flow top-talkers искать кого ддосят. Вот и гугл тоже молчит. В планах был переход на Juniper MX, там вроде как есть настройки для защиты 4 минуты назад, ShyLion сказал: Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая. Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null) В этом и проблема, что потребуется время на всё это, а атака идёт около 2-3 минут и прекращается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 11 апреля, 2019 · Жалоба Фарш невозможно провернуть назад, а фреймы в провода. Без услуги вышестоящего ничего не сделаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moro Опубликовано 11 апреля, 2019 · Жалоба Зная атакуемый IP и тип атаки (протокол/порты) появляется варианты того как поступить. Да, так как порт заливают, на своей стороны зафильтровывать трафик бесполезно, но есть возможность использования bgp blackhole комьюнити апстрима. Часть апстримов предоставлет возможность "умного блекхола", когда зарезается/ограничивается трафик известных аплификационных атак. (DNS/NTP флуд и т.д.). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 11 апреля, 2019 · Жалоба Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP. Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 11 апреля, 2019 · Жалоба А почему решили что это ddos вообще ? 7200 можно положить torrentом сегодня . Потратить надо пару баксов на asr1k бу с eBay и смотреть дальше . 72 отправить на пенсию надо было б ещё лет 10 назад Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 апреля, 2019 · Жалоба 3 часа назад, EvgeniySerb сказал: 7200 можно положить torrentом сегодня У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? 3 часа назад, EvgeniySerb сказал: Потратить надо пару баксов на asr1k бу с eBay Пруфы будут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 12 апреля, 2019 · Жалоба Я с некоторых пор стараюсь публичные ресурсы типа web хостинга, dns для зон и т.д. выносить на внение площадки. Если нет такой возможности, прикрывать ресурсами типа CloudFlare. Даже бесплатные аккаунты заметно помогают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 12 апреля, 2019 · Жалоба 45 minutes ago, Andrei said: У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? Пруфы будут? Пруфы чего ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 12 апреля, 2019 · Жалоба 2 часа назад, Andrei сказал: У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так? Пока в неё что-нибудь не прилетело. А так да - вполне себе аппарат. Про профу - ну напишите на ebay asr1002-f Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swat11 Опубликовано 12 апреля, 2019 · Жалоба 16 часов назад, crank сказал: Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP. Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow. Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками. Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Адреса естественно с разных стран включая РФ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 апреля, 2019 · Жалоба 12 часов назад, Butch3r сказал: Про профу - ну напишите на ebay asr1002-f За пару баксов ничего не находится. 13 часов назад, EvgeniySerb сказал: Пруфы чего ? Вот этого: "Потратить надо пару баксов на asr1k бу с eBay" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 апреля, 2019 · Жалоба Ну тысяч, пару тысяч баксов. До столба ...лся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Atlant Опубликовано 13 апреля, 2019 · Жалоба 18 hours ago, swat11 said: Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками. Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Адреса естественно с разных стран включая РФ. Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака). П.с. С такими проблемами помогает бороться провайдер поддерживающий flowspec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 апреля, 2019 · Жалоба 1 минуту назад, Atlant сказал: Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака). П.с. С такими проблемами помогает бороться провайдер поддерживающий flowspec. Мне кажется, что можно /32 своего роутера спокойно с блекхол коммунити отправлять, по идеи ничего не должно отъехать, кроме трассировок извне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 апреля, 2019 · Жалоба Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 апреля, 2019 · Жалоба 31 минуту назад, alibek сказал: Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP. 19 часов назад, swat11 сказал: Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 апреля, 2019 · Жалоба ddos-ят редко сети, скорее какой-нибудь 1-2 ip. Самому под ддосом выстоять сложно, но у меня аплинки всегда помогали, блекхолили. Ну и светить ip маршрутизаторов = облегчить работу какеров. И тут еще 50/50, что атака изнутри/снаружи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 10 января, 2020 · Жалоба Здрасьте. Подскажите пожалуйста... В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо) Лаба на длинках. Схема: хост(хакер) - свич - свич - свич - хост(белый пушистый ноут) Включено: Command: show dos_prevention Trap/Log :Enabled DoS Type State Action Frame Counts -------------------------- -------- ---------------- ------------ Land Attack Enabled Drop 0 Blat Attack Enabled Drop 1832 Smurf Attack Enabled Drop 0 TCP Null Scan Enabled Drop 0 TCP Xmascan Enabled Drop 0 TCP SYNFIN Enabled Drop 0 TCP SYN SrcPort less 1024 Disabled Drop 0 Без этой команды "хакер" может положить свичик в 100% цпу. С ней вроде даже фильтруется и сервисы работают. В логах вижу мои инициализированные трапы по атакам. Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке? Первый свич не успевает? Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит. Пробовал цепочки на des и dgs. Круче нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 10 января, 2020 · Жалоба 9 минут назад, semop сказал: Здрасьте. Подскажите пожалуйста... В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо) Лаба на длинках. Схема: хост(хакер) - свич - свич - свич - хост(белый пушистый ноут) Включено: Command: show dos_prevention Trap/Log :Enabled DoS Type State Action Frame Counts -------------------------- -------- ---------------- ------------ Land Attack Enabled Drop 0 Blat Attack Enabled Drop 1832 Smurf Attack Enabled Drop 0 TCP Null Scan Enabled Drop 0 TCP Xmascan Enabled Drop 0 TCP SYNFIN Enabled Drop 0 TCP SYN SrcPort less 1024 Disabled Drop 0 Без этой команды "хакер" может положить свичик в 100% цпу. С ней вроде даже фильтруется и сервисы работают. В логах вижу мои инициализированные трапы по атакам. Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке? Первый свич не успевает? Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит. Пробовал цепочки на des и dgs. Круче нету. А как клиент ваще добрался до control-plane свича? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 10 января, 2020 · Жалоба 6 минут назад, VolanD666 сказал: А как клиент это я Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...