Jump to content

CRS1072 - 100% CPU load

maxkst
 Share

Recommended Posts

maxkst

maxkst

Posted
Posted

Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU  обычно около 10-15%.

Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само.

В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму.

У кого какие мысли?

rdmitrich

rdmitrich

Posted
Posted
9 часов назад, maxkst сказал:

Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU  обычно около 10-15%.

Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само.

В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму.

У кого какие мысли?

однозначно DDoS

Стич

Стич

Posted
Posted (edited)
10 часов назад, maxkst сказал:

Допускаю. @TriKS 

Я так понимаю, что сделать тут особо ничего и нельзя в этом случае...

 

https://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow

 

 

Ну а так микротик в топку используйте router на linux + smp affinity

Edited by Стич
rdmitrich

rdmitrich

Posted
Posted
1 час назад, maxkst сказал:

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

как ведет себя линь в случае ddos?

Нормально ведет если процессор бодрый поставите, только его приготовить сложнее

NiTr0

NiTr0

Posted
Posted
3 часа назад, maxkst сказал:

как ведет себя линь в случае ddos?

если хороший ддос - то засирается канал в полку, из-за чего абоны жалуются. других побочных эффектов не было. прилетал мне ддос фрагментированными удп пакетами (битыми к тому же) с рандомных адресов, снял дамп, пообщался с аплинком - сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно). загрузка в 100% не уходила. при том, что там - старенький лга1156 зион...

NiTr0

NiTr0

Posted
Posted
14 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика?

tcpdump например. вполне успешно справляется. и при этом - железяка продолжает роутить трафик, не окукливаясь. не микротик в конце концов же...

Saab95

Saab95

Posted
Posted
15 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика?

Через сниффер отправить себе на комп заголовки всех пакетов, это не такая большая информация.

Стич

Стич

Posted
Posted (edited)
15 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? 

Ставьте в промежуток свитч который может зеркалить. Зеркалите на комп. На компе смотрите. Если ddos валит на определенный IP что высоко вероятно ибо тогда дорого ddos заказать. То на этом же свиче можно и фильтровать. Но лучше к апстриму в блэкхол тогда канал свой не забьёте.

 

22 часа назад, maxkst сказал:

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

как ведет себя линь в случае ddos? 

Как настроите smp affinity. У меня например забивались определенные ядра, всё остальное продолжает работать. Ethernet Карту лучше типа intel x520.

Edited by Стич
morf

morf

Posted
Posted (edited)

Добро пожаловать в клуб. CCR и легкий ддос = смерть. Ничего вы с этим не сделаете, у меня было тоже самое. Перепробовал все. 

Либо меняйте, либо используйте по другому назначению, либо ставьте ROS на х86. 

Edited by morf
  • 4 weeks later...
morf

morf

Posted
Posted

Не должно. Я тебе больше скажу. У меня эта началась с февраля и длилась 2 месяца. Проявлялось 3-4 раза в день в виде 100% загрузки cpu, отваливанием ospf и bgp сессий.

И самое интересное, что я так и не нашел от куда ноги растут - снимал трафик и анализировал всевозможными способами.

По итогу взлетел вариант с RouterOS на х86. 

Saab95

Saab95

Posted
Posted
1 час назад, maxkst сказал:

Так должно быть?

Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут.

maxkst

maxkst

Posted
  • Author
Posted
7 минут назад, morf сказал:

что я так и не нашел от куда ноги растут

Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов

 

4 минуты назад, Saab95 сказал:

Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут.

А причем тут это? 

morf

morf

Posted
Posted (edited)
1 час назад, maxkst сказал:

Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов

 

А причем тут это? 

Тогда такую атаку не составит труда выявить через файрвол с динамическим добавлением всех IP в адрес-лист и его блокировкой в RAW. Такие атаки я успешно отражал в RAW на CCR. Кстати, очень полезный инструмент для разгрузки CPU от некоторого DDoS. Работает только на роутербордах, не на Х86.

Edited by morf
maxkst

maxkst

Posted
  • Author
Posted
В 24.03.2020 в 12:42, NiTr0 сказал:

сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно).

Мы тоже блэкхолим, весьма успешно, но DST адрес, и не источники. Не понятно, как ваш провайдер собирается блэкхолить SRC адреса

Saab95

Saab95

Posted
Posted
23 часа назад, maxkst сказал:

А причем тут это? 

Потому что часто трафик идет на некие ресурсы. Как вариант взломают несколько роутеров абонентов у провайдера, ну не несколько, а штук 20-50, они начнут рассылать флуд на некий ресурс в интернете, а так как IP адреса могут динамически меняться, то после какого-то времени атакуемый ресурс сам может атаку заказать уже на адреса источника проблемы. Если все порты, в том числе и 80, 8080 закрыты извне, то редко когда что-то из интернета прилетает.

maxkst

maxkst

Posted
  • Author
Posted
3 часа назад, Saab95 сказал:

то редко когда что-то из интернета прилетает.

Идея в целом ясна, но я проверил атакуемые адреса, они не занесены в блеклисты или abuse. Не похоже, что эти атаки - ответка за предыдущие атаки. Мож просто школота на карантине мешает друг другу игры гамать

dryukov

dryukov

Posted
Posted

пакостники ))) хорошо хоть не по 64 байта пакеты шлют ))
Вот законопроект примут по приоретезации трафика тогда будет интересней, будут наверное даже штрафовать если тебя за ддосили )))

maxkst

maxkst

Posted
  • Author
Posted

Было так: клиенту даем новый айпи, старый блэкхолим - и через какое-то время его ддосят на новом. Упрашивать полечиться/проапдейтиться?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.