simpl3x Posted December 21, 2019 Posted December 21, 2019 Добрый день, коллеги. Подскажите рецепт, как порезать внезапно летящий транзитный DDoS (относительно Juniper'a) из сети в сторону твоей AS. Как детектировать на нём, что это DDoS, можно ли это в принципе сделать, например с помощью ddos-protection ? Как отправить этот трафик в ад, или добавить dst-addr в blackhole community с помощью встроенного языка, ну или хотя бы просто дропнуть? За спасение приз гарантирован! Вставить ник Quote
vurd Posted December 21, 2019 Posted December 21, 2019 fastnetmon для детекции, а дальше скриптом вызывайте что угодно, хоть анонс /32 с местной кваги, хоть флоуспек Вставить ник Quote
orlik Posted December 21, 2019 Posted December 21, 2019 ddos-protection нужен для защиты control-plane самого оборудования, а не для детектирования атак в транзитном трафике. В остальном vurd уже все рассказал. Вставить ник Quote
simpl3x Posted December 21, 2019 Author Posted December 21, 2019 (edited) @orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? смутило просто: show ddos-protection protocols icmp Packet types: 1, Modified: 1, Received traffic: 1, Currently violated: 0 Currently tracked flows: 1, Total detected flows: 3 * = User configured value Protocol Group: ICMP Packet type: aggregate (Aggregate for all ICMP traffic) Aggregate policer configuration: Bandwidth: 50 pps* Burst: 50 packets* Recover time: 300 seconds Enabled: Yes Flow detection configuration: Detection mode: On* Detect time: 30 seconds* Log flows: Yes Recover time: 60 seconds Timeout flows: No Timeout time: 300 seconds Flow aggregation level configuration: Aggregation level Detection mode Control mode Flow rate Subscriber Automatic Drop 10 pps Logical interface Automatic Drop 10 pps Physical interface Automatic Drop 1000 pps* System-wide information: Aggregate bandwidth is no longer being violated No. of FPCs that have received excess traffic: 1 Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Flow counts: Aggregation level Current Total detected Subscriber 0 1 Logical-interface 1 2 Total 1 3 Routing Engine information: Bandwidth: 50 pps, Burst: 50 packets, enabled Aggregate policer is never violated Received: 795221 Arrival rate: 10 pps Dropped: 0 Max arrival rate: 29 pps Dropped by individual policers: 0 FPC slot 0 information: Bandwidth: 100% (50 pps), Burst: 100% (50 packets), enabled Hostbound queue 0 Aggregate policer is no longer being violated Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Dropped by individual policers: 0 Dropped by aggregate policer: 28593 Dropped by flow suppression: 216476 Flow counts: Aggregation level Current Total detected State Subscriber 0 1 Active Logical-interface 1 2 Active Total 1 3 в этой портянке есть Routing Engine, думал что это как раз об этом Edited December 21, 2019 by simpl3x Вставить ник Quote
orlik Posted December 22, 2019 Posted December 22, 2019 8 hours ago, simpl3x said: @orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? Да, именно так . Используйте netflow/ipfix/sflow для экспорта информации в сторону анализатора и после этого можно на этот же mx вернуть команды что делать с этим трафиком через flowspec или просто наконфигурить фильтры для блокировки Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.