simpl3x Опубликовано 21 декабря, 2019 · Жалоба Добрый день, коллеги. Подскажите рецепт, как порезать внезапно летящий транзитный DDoS (относительно Juniper'a) из сети в сторону твоей AS. Как детектировать на нём, что это DDoS, можно ли это в принципе сделать, например с помощью ddos-protection ? Как отправить этот трафик в ад, или добавить dst-addr в blackhole community с помощью встроенного языка, ну или хотя бы просто дропнуть? За спасение приз гарантирован! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 декабря, 2019 · Жалоба fastnetmon для детекции, а дальше скриптом вызывайте что угодно, хоть анонс /32 с местной кваги, хоть флоуспек Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 21 декабря, 2019 · Жалоба ddos-protection нужен для защиты control-plane самого оборудования, а не для детектирования атак в транзитном трафике. В остальном vurd уже все рассказал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
simpl3x Опубликовано 21 декабря, 2019 (изменено) · Жалоба @orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? смутило просто: show ddos-protection protocols icmp Packet types: 1, Modified: 1, Received traffic: 1, Currently violated: 0 Currently tracked flows: 1, Total detected flows: 3 * = User configured value Protocol Group: ICMP Packet type: aggregate (Aggregate for all ICMP traffic) Aggregate policer configuration: Bandwidth: 50 pps* Burst: 50 packets* Recover time: 300 seconds Enabled: Yes Flow detection configuration: Detection mode: On* Detect time: 30 seconds* Log flows: Yes Recover time: 60 seconds Timeout flows: No Timeout time: 300 seconds Flow aggregation level configuration: Aggregation level Detection mode Control mode Flow rate Subscriber Automatic Drop 10 pps Logical interface Automatic Drop 10 pps Physical interface Automatic Drop 1000 pps* System-wide information: Aggregate bandwidth is no longer being violated No. of FPCs that have received excess traffic: 1 Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Flow counts: Aggregation level Current Total detected Subscriber 0 1 Logical-interface 1 2 Total 1 3 Routing Engine information: Bandwidth: 50 pps, Burst: 50 packets, enabled Aggregate policer is never violated Received: 795221 Arrival rate: 10 pps Dropped: 0 Max arrival rate: 29 pps Dropped by individual policers: 0 FPC slot 0 information: Bandwidth: 100% (50 pps), Burst: 100% (50 packets), enabled Hostbound queue 0 Aggregate policer is no longer being violated Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Dropped by individual policers: 0 Dropped by aggregate policer: 28593 Dropped by flow suppression: 216476 Flow counts: Aggregation level Current Total detected State Subscriber 0 1 Active Logical-interface 1 2 Active Total 1 3 в этой портянке есть Routing Engine, думал что это как раз об этом Изменено 21 декабря, 2019 пользователем simpl3x Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 22 декабря, 2019 · Жалоба 8 hours ago, simpl3x said: @orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? Да, именно так . Используйте netflow/ipfix/sflow для экспорта информации в сторону анализатора и после этого можно на этот же mx вернуть команды что делать с этим трафиком через flowspec или просто наконфигурить фильтры для блокировки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...