[maxkst]

Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU  обычно около 10-15%.

Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само.

В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму.

У кого какие мысли?

[TriKS]

ddos

[maxkst]

Допускаю. @TriKS 

Я так понимаю, что сделать тут особо ничего и нельзя в этом случае...

[NiTr0]

conntrack вырубить если ната либо прочего нужного стейтфул нет...

[rdmitrich]

9 часов назад, maxkst сказал:

Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU  обычно около 10-15%.

Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само.

В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму.

У кого какие мысли?

однозначно DDoS

[Стич]

10 часов назад, maxkst сказал:

Допускаю. @TriKS 

Я так понимаю, что сделать тут особо ничего и нельзя в этом случае...

 

https://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow

 

 

Ну а так микротик в топку используйте router на linux + smp affinity

Изменено 24 марта, 2020 пользователем Стич

[maxkst]

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

7 часов назад, Стич сказал:

используйте router на linux

как ведет себя линь в случае ddos?

[rdmitrich]

1 час назад, maxkst сказал:

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

как ведет себя линь в случае ddos?

Нормально ведет если процессор бодрый поставите, только его приготовить сложнее

[NiTr0]

3 часа назад, maxkst сказал:

как ведет себя линь в случае ddos?

если хороший ддос - то засирается канал в полку, из-за чего абоны жалуются. других побочных эффектов не было. прилетал мне ддос фрагментированными удп пакетами (битыми к тому же) с рандомных адресов, снял дамп, пообщался с аплинком - сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно). загрузка в 100% не уходила. при том, что там - старенький лга1156 зион...

[maxkst]

3 часа назад, NiTr0 сказал:

снял дамп

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика?

[TriKS]

торчем - никак.

[NiTr0]

14 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика?

tcpdump например. вполне успешно справляется. и при этом - железяка продолжает роутить трафик, не окукливаясь. не микротик в конце концов же...

[Saab95]

15 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика?

Через сниффер отправить себе на комп заголовки всех пакетов, это не такая большая информация.

[Стич]

15 часов назад, maxkst сказал:

как просто и быстро снять дамп с 10-гигового порта c 9 гигами трафика? 

Ставьте в промежуток свитч который может зеркалить. Зеркалите на комп. На компе смотрите. Если ddos валит на определенный IP что высоко вероятно ибо тогда дорого ddos заказать. То на этом же свиче можно и фильтровать. Но лучше к апстриму в блэкхол тогда канал свой не забьёте.

 

22 часа назад, maxkst сказал:

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

как ведет себя линь в случае ddos? 

Как настроите smp affinity. У меня например забивались определенные ядра, всё остальное продолжает работать. Ethernet Карту лучше типа intel x520.

Изменено 25 марта, 2020 пользователем Стич

[morf]

Добро пожаловать в клуб. CCR и легкий ддос = смерть. Ничего вы с этим не сделаете, у меня было тоже самое. Перепробовал все. 

Либо меняйте, либо используйте по другому назначению, либо ставьте ROS на х86. 

Изменено 25 марта, 2020 пользователем morf

[maxkst]

DDOSы идут на клиентские IP, не на сам роутер, а на нем процы все равно уходят в полку. Так должно быть?

[morf]

Не должно. Я тебе больше скажу. У меня эта началась с февраля и длилась 2 месяца. Проявлялось 3-4 раза в день в виде 100% загрузки cpu, отваливанием ospf и bgp сессий.

И самое интересное, что я так и не нашел от куда ноги растут - снимал трафик и анализировал всевозможными способами.

По итогу взлетел вариант с RouterOS на х86. 

[Saab95]

1 час назад, maxkst сказал:

Так должно быть?

Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут.

[maxkst]

7 минут назад, morf сказал:

что я так и не нашел от куда ноги растут

Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов

 

4 минуты назад, Saab95 сказал:

Нет, достаточно заблочить основные порты дыр абонентских роутеров, как все проблемы уйдут.

А причем тут это? 

[morf]

1 час назад, maxkst сказал:

Ну мы то видим, что тысячи соединений тыкаются со своими десятками килобит, на один клиентский адрес, с тысяч внешних адресов

 

А причем тут это? 

Тогда такую атаку не составит труда выявить через файрвол с динамическим добавлением всех IP в адрес-лист и его блокировкой в RAW. Такие атаки я успешно отражал в RAW на CCR. Кстати, очень полезный инструмент для разгрузки CPU от некоторого DDoS. Работает только на роутербордах, не на Х86.

Изменено 21 апреля, 2020 пользователем morf

[maxkst]

В 24.03.2020 в 12:42, NiTr0 сказал:

сказали что могут только блэкхолить (что для юдп флуда с вероятно заспуфлеными адресами малополезно).

Мы тоже блэкхолим, весьма успешно, но DST адрес, и не источники. Не понятно, как ваш провайдер собирается блэкхолить SRC адреса

[Saab95]

23 часа назад, maxkst сказал:

А причем тут это? 

Потому что часто трафик идет на некие ресурсы. Как вариант взломают несколько роутеров абонентов у провайдера, ну не несколько, а штук 20-50, они начнут рассылать флуд на некий ресурс в интернете, а так как IP адреса могут динамически меняться, то после какого-то времени атакуемый ресурс сам может атаку заказать уже на адреса источника проблемы. Если все порты, в том числе и 80, 8080 закрыты извне, то редко когда что-то из интернета прилетает.

[maxkst]

3 часа назад, Saab95 сказал:

то редко когда что-то из интернета прилетает.

Идея в целом ясна, но я проверил атакуемые адреса, они не занесены в блеклисты или abuse. Не похоже, что эти атаки - ответка за предыдущие атаки. Мож просто школота на карантине мешает друг другу игры гамать

[dryukov]

пакостники ))) хорошо хоть не по 64 байта пакеты шлют ))
Вот законопроект примут по приоретезации трафика тогда будет интересней, будут наверное даже штрафовать если тебя за ддосили )))

[maxkst]

Было так: клиенту даем новый айпи, старый блэкхолим - и через какое-то время его ддосят на новом. Упрашивать полечиться/проапдейтиться?