maxkst Опубликовано 23 марта, 2020 · Жалоба Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU обычно около 10-15%. Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само. В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму. У кого какие мысли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 23 марта, 2020 · Жалоба ddos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 23 марта, 2020 · Жалоба Допускаю. @TriKS Я так понимаю, что сделать тут особо ничего и нельзя в этом случае... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 марта, 2020 · Жалоба conntrack вырубить если ната либо прочего нужного стейтфул нет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 24 марта, 2020 · Жалоба 9 часов назад, maxkst сказал: Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU обычно около 10-15%. Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само. В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму. У кого какие мысли? однозначно DDoS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 24 марта, 2020 (изменено) · Жалоба 10 часов назад, maxkst сказал: Допускаю. @TriKS Я так понимаю, что сделать тут особо ничего и нельзя в этом случае... https://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow Ну а так микротик в топку используйте router на linux + smp affinity Изменено 24 марта, 2020 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 24 марта, 2020 · Жалоба @Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется. 7 часов назад, Стич сказал: используйте router на linux как ведет себя линь в случае ddos? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 24 марта, 2020 · Жалоба 1 час назад, maxkst сказал: @Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется. как ведет себя линь в случае ddos? Нормально ведет если процессор бодрый поставите, только его приготовить сложнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 24 марта, 2020 · Жалоба 3 часа назад, maxkst сказал: как ведет себя линь в случае ddos? если хороший ддос - то засирается канал в полку, из-за чего абоны жалуются. других побочных эффектов не было. прилетал мне ддос фрагментированными удп пакетами (битыми к тому же) с рандомных адресов, снял дамп, пообщался с аплинком - сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно). загрузка в 100% не уходила. при том, что там - старенький лга1156 зион... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 24 марта, 2020 · Жалоба 3 часа назад, NiTr0 сказал: снял дамп как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 25 марта, 2020 · Жалоба торчем - никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 марта, 2020 · Жалоба 14 часов назад, maxkst сказал: как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? tcpdump например. вполне успешно справляется. и при этом - железяка продолжает роутить трафик, не окукливаясь. не микротик в конце концов же... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 марта, 2020 · Жалоба 15 часов назад, maxkst сказал: как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? Через сниффер отправить себе на комп заголовки всех пакетов, это не такая большая информация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 25 марта, 2020 (изменено) · Жалоба 15 часов назад, maxkst сказал: как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? Ставьте в промежуток свитч который может зеркалить. Зеркалите на комп. На компе смотрите. Если ddos валит на определенный IP что высоко вероятно ибо тогда дорого ddos заказать. То на этом же свиче можно и фильтровать. Но лучше к апстриму в блэкхол тогда канал свой не забьёте. 22 часа назад, maxkst сказал: @Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется. как ведет себя линь в случае ddos? Как настроите smp affinity. У меня например забивались определенные ядра, всё остальное продолжает работать. Ethernet Карту лучше типа intel x520. Изменено 25 марта, 2020 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 25 марта, 2020 (изменено) · Жалоба Добро пожаловать в клуб. CCR и легкий ддос = смерть. Ничего вы с этим не сделаете, у меня было тоже самое. Перепробовал все. Либо меняйте, либо используйте по другому назначению, либо ставьте ROS на х86. Изменено 25 марта, 2020 пользователем morf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 21 апреля, 2020 · Жалоба DDOSы идут на клиентские IP, не на сам роутер, а на нем процы все равно уходят в полку. Так должно быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 21 апреля, 2020 · Жалоба Не должно. Я тебе больше скажу. У меня эта началась с февраля и длилась 2 месяца. Проявлялось 3-4 раза в день в виде 100% загрузки cpu, отваливанием ospf и bgp сессий. И самое интересное, что я так и не нашел от куда ноги растут - снимал трафик и анализировал всевозможными способами. По итогу взлетел вариант с RouterOS на х86. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 апреля, 2020 · Жалоба 1 час назад, maxkst сказал: Так должно быть? Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 21 апреля, 2020 · Жалоба 7 минут назад, morf сказал: что я так и не нашел от куда ноги растут Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов 4 минуты назад, Saab95 сказал: Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут. А причем тут это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 21 апреля, 2020 (изменено) · Жалоба 1 час назад, maxkst сказал: Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов А причем тут это? Тогда такую атаку не составит труда выявить через файрвол с динамическим добавлением всех IP в адрес-лист и его блокировкой в RAW. Такие атаки я успешно отражал в RAW на CCR. Кстати, очень полезный инструмент для разгрузки CPU от некоторого DDoS. Работает только на роутербордах, не на Х86. Изменено 21 апреля, 2020 пользователем morf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 22 апреля, 2020 · Жалоба В 24.03.2020 в 12:42, NiTr0 сказал: сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно). Мы тоже блэкхолим, весьма успешно, но DST адрес, и не источники. Не понятно, как ваш провайдер собирается блэкхолить SRC адреса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 апреля, 2020 · Жалоба 23 часа назад, maxkst сказал: А причем тут это? Потому что часто трафик идет на некие ресурсы. Как вариант взломают несколько роутеров абонентов у провайдера, ну не несколько, а штук 20-50, они начнут рассылать флуд на некий ресурс в интернете, а так как IP адреса могут динамически меняться, то после какого-то времени атакуемый ресурс сам может атаку заказать уже на адреса источника проблемы. Если все порты, в том числе и 80, 8080 закрыты извне, то редко когда что-то из интернета прилетает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 22 апреля, 2020 · Жалоба 3 часа назад, Saab95 сказал: то редко когда что-то из интернета прилетает. Идея в целом ясна, но я проверил атакуемые адреса, они не занесены в блеклисты или abuse. Не похоже, что эти атаки - ответка за предыдущие атаки. Мож просто школота на карантине мешает друг другу игры гамать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 23 апреля, 2020 · Жалоба пакостники ))) хорошо хоть не по 64 байта пакеты шлют )) Вот законопроект примут по приоретезации трафика тогда будет интересней, будут наверное даже штрафовать если тебя за ддосили ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 24 апреля, 2020 · Жалоба Было так: клиенту даем новый айпи, старый блэкхолим - и через какое-то время его ддосят на новом. Упрашивать полечиться/проапдейтиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...