Перейти к содержимому
Калькуляторы

Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета.

В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется.

Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100%

Подскажите, как можно с этим бороться, гугл не особо помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен.

В простых случаях может помочь настройка и ACL.

В сложных случаях поможет только канал и оборудование, способное переварить атаку.

Спросите у магистрала, они иногда предлагают свою защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 minutes ago, swat11 said:

Всем доброго времени суток. Не так давно стал замечать резкое увеличение трафика, клиенты стали жаловаться на полное или частичное отсутствие интернета.

В качестве пограничного маршрутизатора стоит Cisco 7204VXR NPE-G2, у всех клиентов статические белые адреса, NAT не используется.

Как оказалось, кто-то с периодичностью раз в день начинает ддосить сам маршрутизатор, при этом полностью забивает гигабитный канал, загрузка CPU 100%

Подскажите, как можно с этим бороться, гугл не особо помог.

вы анализируете flow? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая...

Только show ip flow top-talkers искать кого ддосят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая.

Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, alibek сказал:

Проверьте трафик. Действительно ли он распределенный или нет. Какого он типа, раз CPU перегружен.

В простых случаях может помочь настройка и ACL.

В сложных случаях поможет только канал и оборудование, способное переварить атаку.

Спросите у магистрала, они иногда предлагают свою защиту.

Понял, запрошу инфу у магистрала

 

1 час назад, moro сказал:

вы анализируете flow? 

Нет, но уже занимаюсь настройкой

 

1 час назад, Butch3r сказал:

К сожалению мы не смогли найти решения для 72 платформы как её средствами защитится от ддос. Она софтовая...

Только show ip flow top-talkers искать кого ддосят.

Вот и гугл тоже молчит. В планах был переход на Juniper MX, там вроде как есть настройки для защиты

 

4 минуты назад, ShyLion сказал:

Если траффик с аплинка уже зашел и нагрузил _интерфейс_ на 100%, то отсечь его можно только _уровнем выше_, т.е. у апстрима. Для этого у апстрима должны быть соответствующие инструменты и сама услуга как таковая.

Например: вы анализируете траффик, выявляете его метрики (адрес назначения, протокол, порт), каким либо образом сообщаете апстриму, тот вешает фильтр (или маршрут в null)

В этом и проблема, что потребуется время на всё это, а атака идёт около 2-3 минут и прекращается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фарш невозможно провернуть назад, а фреймы в провода. Без услуги вышестоящего ничего не сделаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зная атакуемый IP и тип атаки (протокол/порты) появляется варианты того как поступить.

Да, так как порт заливают, на своей стороны зафильтровывать трафик бесполезно, но есть возможность использования bgp blackhole комьюнити апстрима. Часть апстримов предоставлет возможность "умного блекхола", когда зарезается/ограничивается трафик известных аплификационных атак. (DNS/NTP флуд и т.д.).
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP.

 

Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему решили что это ddos вообще ? 7200 можно положить torrentом сегодня . Потратить надо пару баксов на asr1k бу с eBay и смотреть дальше . 72 отправить на пенсию надо было б ещё лет 10 назад 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, EvgeniySerb сказал:

7200 можно положить torrentом сегодня

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

 

3 часа назад, EvgeniySerb сказал:

Потратить надо пару баксов на asr1k бу с eBay

Пруфы будут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я с некоторых пор стараюсь публичные ресурсы типа web хостинга, dns для зон и т.д. выносить на внение площадки.

Если нет такой возможности, прикрывать ресурсами типа CloudFlare. Даже бесплатные аккаунты заметно помогают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 minutes ago, Andrei said:

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

 

Пруфы будут?

Пруфы чего ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Andrei сказал:

У меня стоит 7204 с NPE-1G, около 400 pppoe онлайн (обычные квартирные абоненты со всеми их "прелестями"), на ней же НАТ и rate-limit-ы. И работает, загрузка проца в пределах 60%. Что я делаю не так?

Пока в неё что-нибудь не прилетело. А так да - вполне себе аппарат.

 

Про профу - ну напишите на ebay asr1002-f

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, crank сказал:

Посмотрите в сторону Fastnetmon. Суть простая - сливаете на него flow, fastnetmon анализирует и через exabgp анонсирует атакуемый IP вам на бордер, с него анонсите этот адрес дальше в сторону аплинка навесив blackhole community. Таким образом вы отделаетесь потерей интернета только у атакуемого IP.

 

Я бы посоветовал лить sflow с какого-нибудь коммутатора, который стыкуется с 72-ой циской, но тут зависит от вашей топологии. Последняя уж сильно много кушает ресурсов на netflow.

Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками.

 

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

Адреса естественно с разных стран включая РФ. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, Butch3r сказал:

Про профу - ну напишите на ebay asr1002-f

За пару баксов ничего не находится.

 

13 часов назад, EvgeniySerb сказал:

Пруфы чего ?

Вот этого: "Потратить надо пару баксов на asr1k бу с eBay"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну тысяч, пару тысяч баксов. До столба ...лся

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 hours ago, swat11 said:

Спасибо, посмотрю. Да, с коммутатора не проблема сливать, он стоит в разрыв между циской и аплинками.

 

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

Адреса естественно с разных стран включая РФ. 

Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака).

 

П.с. 

 С такими проблемами помогает бороться провайдер поддерживающий flowspec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Atlant сказал:

Можно для начала (и быстрого воркэраунда) попросить аплинк сменить стыковочную сеть (на адрес которой прилетает атака).

 

П.с. 

 С такими проблемами помогает бороться провайдер поддерживающий flowspec.

Мне кажется, что можно /32 своего роутера спокойно с блекхол коммунити отправлять, по идеи ничего не должно отъехать, кроме трассировок извне. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, alibek сказал:

Навряд ли атака нацелена непосредственно на маршрутизатор. Скорее на клиентские IP.

 

19 часов назад, swat11 сказал:

Сегодня снова был ддос, на этот раз уже был настроен flow. Атака была со 100 адресов на адрес самого бордера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 ddos-ят редко сети, скорее какой-нибудь 1-2 ip. Самому под ддосом выстоять сложно, но у меня аплинки всегда помогали, блекхолили. Ну и светить ip маршрутизаторов = облегчить работу какеров. И тут еще 50/50, что атака изнутри/снаружи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здрасьте.

 

Подскажите пожалуйста...

 

В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо)

Лаба на длинках.

Схема:

хост(хакер) - свич - свич - свич - хост(белый пушистый ноут)

 

Включено:

 

Command: show dos_prevention

Trap/Log   :Enabled

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              0           
Blat Attack                 Enabled   Drop              1832           
Smurf Attack                Enabled   Drop              0           
TCP Null Scan               Enabled   Drop              0           
TCP Xmascan                 Enabled   Drop              0           
TCP SYNFIN                  Enabled   Drop              0           
TCP SYN SrcPort less 1024   Disabled  Drop              0           

 

Без этой команды "хакер" может положить свичик в 100% цпу.

С ней вроде даже фильтруется и сервисы работают. 

 

В логах вижу мои инициализированные трапы по атакам.

 

Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке?

 

Первый свич не успевает?

Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит.

 

Пробовал цепочки на des и dgs. Круче нету.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, semop сказал:

Здрасьте.

 

Подскажите пожалуйста...

 

В рамках факультатива устраиваю ддос tcp флагами. Получается хорошо)

Лаба на длинках.

Схема:

хост(хакер) - свич - свич - свич - хост(белый пушистый ноут)

 

Включено:

 

Command: show dos_prevention

Trap/Log   :Enabled

DoS Type                    State     Action            Frame Counts
--------------------------  --------  ----------------  ------------
Land Attack                 Enabled   Drop              0           
Blat Attack                 Enabled   Drop              1832           
Smurf Attack                Enabled   Drop              0           
TCP Null Scan               Enabled   Drop              0           
TCP Xmascan                 Enabled   Drop              0           
TCP SYNFIN                  Enabled   Drop              0           
TCP SYN SrcPort less 1024   Disabled  Drop              0           

 

Без этой команды "хакер" может положить свичик в 100% цпу.

С ней вроде даже фильтруется и сервисы работают. 

 

В логах вижу мои инициализированные трапы по атакам.

 

Окей, но почему я вижу эти же трапы в логах на свичах далее по цепочке?

 

Первый свич не успевает?

Да даже если в цепочке будет 10 коммутаторов, все равно все залогируют атаку. Генерация дос трафика - 100мбит.

 

Пробовал цепочки на des и dgs. Круче нету.

 

 

 

 

А как клиент ваще добрался до control-plane свича?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

6 минут назад, VolanD666 сказал:

А как клиент

это я

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.