Перейти к содержимому
Калькуляторы
2 минуты назад, semop сказал:

 

это я

 

А вы как добрались до CP свича? Я просто к тому что вы пытаетесь решить проблему, которой быть не должно по идее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть как я ддос устроил до 100% цпу? Или что?

 

Походу лучше тогда про это не писать.

 

Допустим факт, что есть сгенерированный траф 100мбит, путем комбинации тсп флагов получился ддос. Свич это выпиливает, но похоже недоконца.

Я думал просто что сотку то зарежет чай. Неужто это много для коммутатора. Причем лабораторная идеальная легенда. Линки не нагружены вообще. Только ноут и хакер в сети.

 

==

50 тоже не может.

Чзх...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, semop сказал:

Я думал просто что сотку то зарежет чай. Неужто это много для коммутатора. Причем лабораторная идеальная легенда. Линки не нагружены вообще. Только ноут и хакер в сети.

Слишком много хотите от свича. Его задача - L2 (ну, L3 по минимуму), все остальное - без гарантий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага. Видимо совсем кисло всё.

 

Тогда стало интересно сколько он вообще сможет.

Точнее даже не так. До какого "хопа" уедет последний ддос пакетик в цепочке длинков или вообще какая должна быть цепочка, если есть какая то корреляция с этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, semop сказал:

Тогда стало интересно сколько он вообще сможет.

Точнее даже не так. До какого "хопа" уедет последний ддос пакетик в цепочке длинков или вообще какая должна быть цепочка, если есть какая то корреляция с этим.

Интерес хороший, но результаты будут актуальны только для одного типа атаки и могут в разы отличаться на другой версии ПО коммутатора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы что сделать то хотите? Если просто спортивный интерес, то это понятно. Но в реальной жизни где вам это пригодиться может. Я вот что понять не могу :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да я наверно размечтался. Хотя может что-то не донажал или не включил, или вообще оно иначе работает.

 

Я просто не ожидал что все так будет, если честно. Ну хоть чего-то.

 

12 минут назад, TheUser сказал:

для одного типа атаки

Для blat атаки 17 рабочих комбинаций сделал, sinfin 6, больше половины - рандом наугад. А их там ой наверно. Это глубокий 4 уровень OSI, мне не осилить до такой степени все коридоры tcp пакета, ну и я не хакер.. 

 

Софт боевой, свичи тоже, иначе лаба нечестная была бы.

 

Не то что спортивно, хотелось наверно больше чтоб все хорошо было. На сколько возможно. И на том что есть)

 

Ну и по итогам да, получилось так, что я не знаю наверняка все типы атак. И вопрос к длинку, знает ли он?

У длинка просто галки напротив наименования. На самом деле это ACL. Просто их не анонсируют.

Т.е. на длинке я выковыривал из логов ддос, смотрел что за пакеты, расширил лабу до вышестоящей агрегации huawei где собрал получившийся ACL.

И вот причем HWI агрегация намного качественнее, если можно так сказать, фильтровал ддос, чем длинковская агрегация. Хотя они вроде рядом по ттх.

 

Знать бы конкретику софта, то теоретически можно узнать какие пакеты свич будет считать ддосом. Если этого нет в свободном доступе вообще.

 

А второй вопрос. Нафига я это делаю. Если свичи занимаются помимо своей коммутации еще и ддосом(пускай раздельно, каждый по чу чуть), то логично будет сказать, что я порчу QOS. 

Я не знаю наверняка что железу проще и как это отразится на сервисах. Прокачать 1Гиг ддоса или зафильтровать его нафик, ну или хотя бы половину. 

Склоняюсь к первому, потому что логично что принять и отдать легче, чем принять-обработать-отдать. Но не знаю как это проверить)

 

Тем не менее выпилить хоть какую то часть атак снаружи и внутри это же лучше чем ничего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да у вас в принципе извне трафика не должно идти на CP свича, откуда там DDOS то прилететь может. Или у вас управление белыми адресами в Инет светит? Я просто сценарий такой атаки не могу придумать если честно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет.

Коммутатор шарит по пакету. Наплевать какой он. Хоть это во влане с браса прилетело, хоть ПД. Ваще наплевать на направление или природу этого трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, semop сказал:

Если этого нет в свободном доступе вообще.

А с чего бы оно должно быть в свободном доступе?

Как только что-то попадает в публичную документацию, его состояние должно быть заморожено.

Пока это черный ящик, его могут дорабатывать, улучшать или изменять в последующих версиях прошивок.

Но если Huawei подробно опишет, как работает защита, то ему придется сохранять схему работы защиты, чтобы не поломать клиентам процессы, которые будут привязаны к этой схеме.

Хотя D-Link не стесняется иногда с новой ревизией или даже прошивкой полностью поменять работу ACL, но это все же исключения и обычно разработчик старается сохранить совместимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, alibek сказал:

А с чего бы оно должно быть в свободном доступе?

В узких кругах оно есть наверно ;)

 

Да я не против. Просто полезная инфа была бы. Но прекрасно понимаю почему ее нет.

И DDOS это не только tcp. 

А если не знаешь, то как настраивать? Это безысходность какая то получается.

 

Как галочка у бранмауэра. ВКЛ. А он там дофига чего делает, и антивирусы постоянно обновляют.

Тут примерно тоже самое имхо. А может я не прав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, VolanD666 сказал:

Да у вас в принципе извне трафика не должно идти на CP свича, откуда там DDOS то прилететь может. Или у вас управление белыми адресами в Инет светит? Я просто сценарий такой атаки не могу придумать если честно.

я понял о чем вы)

 

для меня, как провайдера ддос это просто инфа, трафик. Но это левый трафик. Иногда приличный. Иногда нагрузка цпу. Нафия оно мне нужено?

Направление у него одно, у локального - локальный, у внешнего - наружу. Затрагивает абонентов.

Я не абонент, но я должен хотя бы что-то сделать чтоб их не долбили. Или они кого-то.

 

Нам тут чехи написали недавно. Полуофициально. Мол с вашего IP ддосят кого-то их. Прикольно)

Нашел кто это делал. Это была гостиница, причем доступ был произведен ч/з гостевой вифи с телефона после авторизации. Что я сделаю? Гостиницу закрыть?) Я написал им что это конечно прискорбно, обновите антивирус. И все.

Сказали что забанят IP. Потом больше не писали. Забанили наверно.

 

Просто случай. Вот и задумался.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, semop сказал:

Что я сделаю?

Обычно в договоре/оферте пишется, что не допускается использование услуги, которое вредит другим пользователям или сети оператора, и что в подобных случаях оператор оставляет за собой право приостановить оказание услуг.

Мы не приостанавливали, но пару раз письма с указанием на данный пункт клиентам отправляли. Помогало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, semop сказал:

Нет.

Коммутатор шарит по пакету. Наплевать какой он. Хоть это во влане с браса прилетело, хоть ПД. Ваще наплевать на направление или природу этого трафика.

Эмм... А зачем он так делает? Если пакет транзитный его совсем не должно волновать что внутри. Это точно не какой-нить управляющий влан?

 

3 минуты назад, alibek сказал:

Обычно в договоре/оферте пишется, что не допускается использование услуги, которое вредит другим пользователям или сети оператора, и что в подобных случаях оператор оставляет за собой право приостановить оказание услуг.

Мы не приостанавливали, но пару раз письма с указанием на данный пункт клиентам отправляли. Помогало.

+100500

 

Ну и резать такой трафик на свиче- такое себе решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я не вижу их ддос. Для меня это просто трафик.

Видит дистанэйшн.

 

Письма из РКН или безопасники отрабатываются нормально. А тут просто грубо говоря какой то чувак написал, чтоб я что то сделал. Кто он мне? Я и не знаю его. 

 

Вот по оферте не до конца уверен. Господин президент насколько помню не считает такие виды деятельности чем то нехорошим пока они не распространяют свое действие "локально", т.е на своих. А если вылез во внешку и накричал на кого-то на забугорском форуме, уронил иностранную радиостанцию - нас это не волнует. Мы можем отреагировать по запросу, да, но дальше на свое усмотрение. Наших законов этот персонаж по идее не нарушал. Как то так вроде бы. Нет?

Хотя я с этим тоже не до конца согласен.

 

29 минут назад, VolanD666 сказал:

Эмм... А зачем он так делает? Если пакет транзитный его совсем не должно волновать что внутри. Это точно не какой-нить управляющий влан?

Даже глупый L2 свичик умеет сканить пакеты.

Еще раз говорю. Совершенно неважна природа трафика. Это просто данные. Свичу по барабану инетовское это или локальное, управление, каст. Он вообще не вкурсе что такое интернет. Это вы знает откуда оно) что за влан, куда проключен, как настроен и тд. Свичу пофик. Это единички и нолики. Транзит. Коммутация. Он это "трогает" по умолчанию. Просто в качестве опции можно сказать чтоб он потрогал и что-то сделал на основе правил.

Это ж круто, нет разве?

 

DES-3200-10:5#sh log
Command: show log

Index Date       Time     Log Text                                              
----- ---------- -------- ------------------------------------------------------
101   2020-01-10 17:17:15 Blat Attack is detected from (IP: 71.6.233.185 Port: 9
                          )
100   2020-01-10 16:14:47 Blat Attack is detected from (IP: 88.202.190.153 Port:
                           9)
99    2020-01-10 15:54:28 Blat Attack is detected from (IP: 87.247.7.25 Port: 9)
98    2020-01-10 15:32:11 Blat Attack is detected from (IP: 71.6.233.206 Port: 9
                          )
97    2020-01-10 15:24:41 Blat Attack is detected from (IP: 188.18.182.59 Port: 
                          9)
96    2020-01-10 15:21:42 Blat Attack is detected from (IP: 71.6.233.181 Port: 9
                          )
95    2020-01-10 14:18:27 Blat Attack is detected from (IP: 71.6.233.242 Port: 9
                          )

 

Ну тут внешние. Но порой бывает и серые ипшники колбасятся.

Это со стороны аплинка. А бывает и с абонентской.

 

Эта штука реально фильтрится. Не так хорошо как хотелось бы. Но хоть что то.

Но я думаю среди этого всего есть много пакетов, которые просто сами по себе развалились или битые, отчего свич их считает за атаку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, alibek сказал:

Мы не приостанавливали, но пару раз письма с указанием на данный пункт клиентам отправляли. Помогало.

а что они делали?

Вам? Сети? Или кому-то на сети/пользователю интернет в РФ?

 

В теме про китайское оборудование верное замечание:

Если клиент своими кривыми руками кладет свич провайдера- это большой косяк провайдера имхо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, semop сказал:

а что они делали?

Вам? Сети? Или кому-то на сети/пользователю интернет в РФ?

 

В теме про китайское оборудование верное замечание:

Ну там речь про корявую настройку на стороне провайдера. При нормальной настройке я не вижу вариантов как у вас не может случить ддос на свич. Если только это L3 и внутренний клиент долбит свой шлюз, тогда да. В таком случае я бы посмотрел в сторону mgmt-vrf

 

36 минут назад, semop сказал:

Так я не вижу их ддос. Для меня это просто трафик.

Видит дистанэйшн.

 

Письма из РКН или безопасники отрабатываются нормально. А тут просто грубо говоря какой то чувак написал, чтоб я что то сделал. Кто он мне? Я и не знаю его. 

 

Вот по оферте не до конца уверен. Господин президент насколько помню не считает такие виды деятельности чем то нехорошим пока они не распространяют свое действие "локально", т.е на своих. А если вылез во внешку и накричал на кого-то на забугорском форуме, уронил иностранную радиостанцию - нас это не волнует. Мы можем отреагировать по запросу, да, но дальше на свое усмотрение. Наших законов этот персонаж по идее не нарушал. Как то так вроде бы. Нет?

Хотя я с этим тоже не до конца согласен.

 

Даже глупый L2 свичик умеет сканить пакеты.

Еще раз говорю. Совершенно неважна природа трафика. Это просто данные. Свичу по барабану инетовское это или локальное, управление, каст. Он вообще не вкурсе что такое интернет. Это вы знает откуда оно) что за влан, куда проключен, как настроен и тд. Свичу пофик. Это единички и нолики. Транзит. Коммутация. Он это "трогает" по умолчанию. Просто в качестве опции можно сказать чтоб он потрогал и что-то сделал на основе правил.

Это ж круто, нет разве?

 

DES-3200-10:5#sh log
Command: show log

Index Date       Time     Log Text                                              
----- ---------- -------- ------------------------------------------------------
101   2020-01-10 17:17:15 Blat Attack is detected from (IP: 71.6.233.185 Port: 9
                          )
100   2020-01-10 16:14:47 Blat Attack is detected from (IP: 88.202.190.153 Port:
                           9)
99    2020-01-10 15:54:28 Blat Attack is detected from (IP: 87.247.7.25 Port: 9)
98    2020-01-10 15:32:11 Blat Attack is detected from (IP: 71.6.233.206 Port: 9
                          )
97    2020-01-10 15:24:41 Blat Attack is detected from (IP: 188.18.182.59 Port: 
                          9)
96    2020-01-10 15:21:42 Blat Attack is detected from (IP: 71.6.233.181 Port: 9
                          )
95    2020-01-10 14:18:27 Blat Attack is detected from (IP: 71.6.233.242 Port: 9
                          )

 

Ну тут внешние. Но порой бывает и серые ипшники колбасятся.

Это со стороны аплинка. А бывает и с абонентской.

 

Эта штука реально фильтрится. Не так хорошо как хотелось бы. Но хоть что то.

Но я думаю среди этого всего есть много пакетов, которые просто сами по себе развалились или битые, отчего свич их считает за атаку.

Стоп. Он лезет во внутренности только из-за того что вы так настроили. Свичу для коммутации не надо лезть во внутренность. Если вы хотите резать всякие атаки на ресурсы клиента, это тема хорошая. Но это точно не делается на свиче доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. При нормальной настройке. С включеными всяким лупдэтэктами, трафик контрол, какими нибудь широковещательными АЦЛ, бпду, влан на пользователя, /30 на управления - все это фигня. 

Без команды dos_pre я могу за 10мин положить(100 цпу/потеря пингов) коммутатор 100 мегабитами tcp кавна, которые надо будет просто просвичивать. А свич будет настроен максимально хорошо.

 

Ну Длинк точно.

==

Я не спорю, хорошее железо хорошо работает. Я длинки мучаю, в лабе 3028ые. Норм они валятся от доса.

Можно на след. неделе SNR попробовать, будет забавно если им будет пофик на этот дос)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

53 минуты назад, semop сказал:

а что они делали

Какого-то хостера взломать пытались месяцами. Чей-то аккаунт в PSN пытались угнать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

semop, мне кажется вы путаете "кислое с длинным". То что какой-то ваш абон пытался заддосить кого-то там в инете - обычное явление.

Если у вас ip-интерфейс абонента находится на длинках, и есть злой умысел положить - ну, да, кладется он на раз-два. тем же арпфлудом.

Коммутатор конечно может заглядывать внутрь пакета, есть определенный смысл фильтровать некоторый трафик. Но вот прям от "ддос" - ну не поможет это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, k104x сказал:

semop, мне кажется вы путаете "кислое с длинным". То что какой-то ваш абон пытался заддосить кого-то там в инете - обычное явление.

Если у вас ip-интерфейс абонента находится на длинках, и есть злой умысел положить - ну, да, кладется он на раз-два. тем же арпфлудом.

Коммутатор конечно может заглядывать внутрь пакета, есть определенный смысл фильтровать некоторый трафик. Но вот прям от "ддос" - ну не поможет это.

Нет, просто доступ. Обычный свичинг.

Голый л2, все ипшники на брасе.
 

Лет 8-10 назад я бы тоже скептически относился к этой фиче на коммутаторах. Включил на сети полносильно 2-3г назад. Копать глубже начал в прошлом году. Появилось время заниматься чем то прикольным, а не чинить шторма или какие-нибудь непонятные бубны. 

 

Тем не менее. Что есть то есть. 
Могу скриншоты или статистику пингов/цпу свичей показать при такой ддос атаке хост-хост в цепочке длинков. Даже без участия агрегаций, брасов, бордера и вообще интернета. Просто локалочкой 192.168.х.х

 

и как оно после dos_pre

 

Кстати. На брасе (у нас redback) в ацл есть опция после табуляции, когда он сам предлагает вариант фильтрации bad flags у tcp. Но если ее включить - помирает 90% инета))))

Я смеялся.

Они тоже шифруются. Как бы ладно. Но там вообще не пашет почему то) Честные ацл с флагами - нормально. 

 

Я не претендую на справедливость того что этот способ уничтожит все плохое. Я прекрасно понимаю что это небольшой процент из всех видов ддоса. Можно вообще ничего не делать, конечно это попроще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, VolanD666 сказал:

 

Стоп. Он лезет во внутренности только из-за того что вы так настроили. Свичу для коммутации не надо лезть во внутренность. Если вы хотите резать всякие атаки на ресурсы клиента, это тема хорошая. Но это точно не делается на свиче доступа.

Да. Именно так.

 

А где это фильтровать?

Если честно я вообще без понятия сколько из внешнего трафика у нас это всякий хлам, типа флуда, скана, ддоса и тд. 

Наверно не очень много. Но он есть.
А если много будет? Я не готов получается)


Если я закрою это с двух сторон: у браса и на доступе, то вся магистральная внутренняя топология будет более менее чистая. 
Со точки зрения доступа это как лупдэтэкт. Петля валит не до ближайшей агрегации где оно включено например, а режет порт прямо на доступе,  потому что включено и там, и дальше порта эта штука не ходит. Прекрасно!)
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, semop сказал:

Да. Именно так.

 

А где это фильтровать?

Если честно я вообще без понятия сколько из внешнего трафика у нас это всякий хлам, типа флуда, скана, ддоса и тд. 

Наверно не очень много. Но он есть.
А если много будет? Я не готов получается)


Если я закрою это с двух сторон: у браса и на доступе, то вся магистральная внутренняя топология будет более менее чистая. 
Со точки зрения доступа это как лупдэтэкт. Петля валит не до ближайшей агрегации где оно включено например, а режет порт прямо на доступе,  потому что включено и там, и дальше порта эта штука не ходит. Прекрасно!)
 

Да, но только свичу на доступе плохо станет, т.к. он это все процессором отрабатывает. Я не знаком с этим функционалом на длинке, но скорее всего это сделано чтобы защитить CP свича. И это не тоже самое что лупдетект, совсем не тоже самое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок. Аналогия.

 

свич1(выкл ldp) - свич2(вкл ldp)

 

На 2 я делаю петлю. Он ее отключает.

При какой легенде свич1 поймает петлю от 2 и бешено замигает аплинком, при условии что свичи соединены одним патчем. Транк.

 

Расстановка русских войск на куликовском поле: передовая самая крутая и мощная. Фланги. А сзади? А сзади засада) а не просто кусты. 
Я именно засаду собираю. 
 

Про эффективность я сам не знаю)

Выше писал, что не знаю что проще: прокачать атаку, дать ей дорогу или попробовать заблокировать. Со всеми вытекающими.

У меня нет техвоз такую схему собрать с реальным трафиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если 2ой свич отключит порт, то петли не будет. В чем аналогия, я не понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.