Перейти к содержимому
Калькуляторы

DDoS через Juniper MX80

Добрый день, коллеги.

Подскажите рецепт, как порезать внезапно летящий транзитный DDoS (относительно Juniper'a) из сети в сторону твоей AS.

Как детектировать на нём, что это DDoS, можно ли это в принципе сделать, например с помощью ddos-protection ?

Как отправить этот трафик в ад, или добавить dst-addr в blackhole community с помощью встроенного языка, ну или хотя бы просто дропнуть?

За спасение приз гарантирован!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

fastnetmon для детекции, а дальше скриптом вызывайте что угодно, хоть анонс /32 с местной кваги, хоть флоуспек

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ddos-protection нужен для защиты control-plane самого оборудования, а не для детектирования атак в транзитном трафике.

В остальном vurd уже все рассказал.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи?   

смутило просто:


 

show ddos-protection protocols icmp
Packet types: 1, Modified: 1, Received traffic: 1, Currently violated: 0
Currently tracked flows: 1, Total detected flows: 3
* = User configured value

Protocol Group: ICMP

  Packet type: aggregate (Aggregate for all ICMP traffic)
    Aggregate policer configuration:
      Bandwidth:        50 pps*
      Burst:            50 packets*
      Recover time:     300 seconds
      Enabled:          Yes
    Flow detection configuration:
      Detection mode: On*        Detect time:  30 seconds*
      Log flows:      Yes        Recover time: 60 seconds
      Timeout flows:  No         Timeout time: 300 seconds
      Flow aggregation level configuration:
        Aggregation level   Detection mode  Control mode  Flow rate
        Subscriber          Automatic       Drop          10 pps
        Logical interface   Automatic       Drop          10 pps
        Physical interface  Automatic       Drop          1000 pps*
    System-wide information:
      Aggregate bandwidth is no longer being violated
        No. of FPCs that have received excess traffic: 1
        Last violation started at: 2019-12-21 15:26:54 MSK
        Last violation ended at:   2019-12-21 15:27:13 MSK
        Duration of last violation: 00:00:19 Number of violations: 3
      Received:  1040220             Arrival rate:     14 pps
      Dropped:   245069              Max arrival rate: 2476 pps
      Flow counts:
        Aggregation level     Current       Total detected
        Subscriber            0             1
        Logical-interface     1             2
        Total                 1             3
    Routing Engine information:
      Bandwidth: 50 pps, Burst: 50 packets, enabled
      Aggregate policer is never violated
      Received:  795221              Arrival rate:     10 pps
      Dropped:   0                   Max arrival rate: 29 pps
        Dropped by individual policers: 0
    FPC slot 0 information:
      Bandwidth: 100% (50 pps), Burst: 100% (50 packets), enabled
      Hostbound queue 0
      Aggregate policer is no longer being violated
        Last violation started at: 2019-12-21 15:26:54 MSK
        Last violation ended at:   2019-12-21 15:27:13 MSK
        Duration of last violation: 00:00:19 Number of violations: 3
      Received:  1040220             Arrival rate:     14 pps
      Dropped:   245069              Max arrival rate: 2476 pps
        Dropped by individual policers: 0
        Dropped by aggregate policer:   28593
        Dropped by flow suppression:    216476
      Flow counts:
        Aggregation level     Current       Total detected   State
        Subscriber            0             1                Active
        Logical-interface     1             2                Active
        Total                 1             3

в этой портянке есть Routing Engine, думал что это как раз об этом
 

Изменено пользователем simpl3x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 hours ago, simpl3x said:

@orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? 

Да, именно так . Используйте netflow/ipfix/sflow для экспорта информации в сторону анализатора и после этого можно на этот же mx вернуть команды что делать с этим трафиком через flowspec или просто наконфигурить фильтры для блокировки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.