[ShumBor]

Да там не только с трансов беда

1. node-23-33.tula.net 0.0% 22 0.3 0.3 0.2 0.8 0.1

2. nkao-ort.sc-t.ru 0.0% 22 1.4 2.1 0.8 11.8 2.3

3. 82.196.140.141 0.0% 22 2.8 1.9 1.0 3.2 0.6

4. 82.196.129.185 0.0% 21 19.3 97.8 16.2 421.3 137.6

5. 195.161.158.117 4.8% 21 59.3 79.6 55.2 248.8 51.4

6. msk-bgw3-ge0-2-0-0.rt-comm.ru 5.0% 21 103.0 68.6 55.7 204.2 34.5

7. cat02.Moscow.gldn.net 0.0% 21 42.5 48.0 41.4 90.1 12.3

8. cat03.Moscow.gldn.net 33.3% 21 327.7 277.1 179.7 583.1 108.2

9. cat01.Moscow.gldn.net 14.3% 21 182.2 181.0 170.4 226.7 16.6

10. mail.ru 20.0% 21 179.4 177.3 168.7 194.8 6.3

А откуда такие дикие задержки-то?

а кто их знает.. был момент ктогда голден отвалился причем даже со свеого канала не выходил за пределы города.

 

А вообще в сети один из юзверей начинал флудить на 85.192.62.55 удп пакетами на 80 порт...

Причем время начала флуда что вчера что сегодня как-то совпадает с началом всех порблем.

Поймали почти сразу, ну может задерка в минут 5 была пока мониториг отработал.

Причем техники вроде бы вчера все вычистили, а сегодня опять откуда то вылезла зверюга.

Изменено 20 февраля, 2007 пользователем ShumBor

[ssk]

Хм, и у нас сегодня 3 клиента было с таким же dst - 85.192.62.55, флудили на 80/udp

 

Ктото видимо, решил нагрузить только 85.192.62.55, но промахнулся и попал по рунету :))

Изменено 20 февраля, 2007 пользователем ssk

[Vicus]

а нам в ЮжТТК сказали следующее:

 

Наблюдается проблема Dos-атака на ресурсы сети ЗАО "Компании ТрансТелеком".

Данным вопросом занимаются специалисты КТТК.

 

Открыта заявка Trouble Ticket N

О ходе решения сообщим дополнительно.

 

С уважением,

Администратор по поддержке пользователей

ЗАО "Южурал-Транстелеком"

А как было это приятно слышать мне и моему коллеге с Уссурийска :-/ А так же выслушивать вопли пользователей...

ЗЫ: вообще есть кучка нареканий к работе хелпдеска...

Изменено 20 февраля, 2007 пользователем Vicus

[UglyAdmin]

У нас с флудерасами разговор короткий - робот отстреливает без предупреждений, а включение только после звонка в техподдержку.

[leiden]

АглиАдмин, если бы так работали все операторы в России - нам бы сегодня было существенно проще. К сожалению - это не так.

[cmhungry]

У нас с флудерасами разговор короткий - робот отстреливает без предупреждений, а включение только после звонка в техподдержку.

а на чем и по каким признакам робот определяет флудерастов?

[grama]

Действительно интересно. Комплексные решения можно в личку дабы не создавать открытых каналов информации для "заинтересованных" лиц. Думаю польза всем будет.

[Smoke]

blackhole upstream главное решние, если заставите его работать

[mt6561]

Действительно интересно. Комплексные решения можно в личку дабы не создавать открытых каналов информации для "заинтересованных" лиц. Думаю польза всем будет.

Эээ... Я сошел с ума???

Или действительно таки да в форуме домосетевиков учат магистральщиков блокировать простейшие DoS-атаки? 8-()

Гыыы... грЫбочИк... 8-()

[UglyAdmin]

а на чем и по каким признакам робот определяет флудерастов?

В общем, это не тайна:

http://net.pnz.ru/forum/viewtopic.php?t=5104

 

Подробности позволю себе не публиковать. Тут, как и в антиспаме - ложные срабатывания тоже случаются. :(

К магистральщикам это не может иметь никакого отношения - у них совсем другая прецифика, им юзеров отстреливать можно только в совсем уж крайнем случае.

[Гoсть]

ЗлойАдмин, ты действительно очень злой ;)

Еси честно, довольно фиговые у тебя критерии. Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда. Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы).

Ноу-хау: пишется буквально шкрипт на перле, который кажные 5мин ходить на все девайсы где клиентские порты (или на БРАСы) и втупую сморить на SNMP счетчики...

Запатентовать что-ли? И Прохожему продать, а то переживает человек сильно ;)

[leiden]

Гость - ну никакой общественной ответственности. Напиши скрипт, выпусти в опенсорс и предложи с одной стороны

а) магистралам его поддержать

б) розничным операторам пользоваться без поддержки с твоей стороны бесплатно, а за плату адаптировать и сопровождать

Гораздо эффективнее будет.

[UglyAdmin]

Фигня.

Чаще всего срабатывает отлавливалка спамеров - а для чего ещё создаются бот-сети, как не для рассылки спама, попытки кого-нибудь зафлудить как правило сильно вторичны.

Собственно, после её внедрения все остальные виды флуда как-то почти сошли на нет, болтаются в районе 3% всех срабатываний. Массированный флуд - вообще единичные случаи.

[UglyAdmin]

Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда.

Они и не впускаются, просто по срабатыванию ACL клиентский порт ещё и гасится :)

Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы).

ХМ. Флуда - возможно, но пока за 5 минут наберется статистика - софтовый рутер просто ляжет (а с необходимым функционалом - они все софтовые, кроме разве что Juniper ERX).

Кроме того, спам это не остановит, сканирование - тоже.

[Прохожий]

Запатентовать что-ли? И Прохожему продать, а то переживает человек сильно ;)

Патентуй, желательно в штатах, там любую ботву патентуют за деньги, руль для заднего пассажира и унитаз вместо сидения в авто.

 

Критерий а)очевидный б)однобокий в)неоднозначный

 

Реально критерий должен быть комплексный... Так что думай дальше, когда придумаешь - заходи, обсудим...

[Stingo]

Пепец. Вот это "связность"... Теперь понятно, почему никто не может отгрузить российского коннективити по нормальным ценам, и все друг к другу ходим как не родные через Франкфурт.

 

А теперь - диверсия.

Отдаюсь за ~$5000 за 10Мбит на границе - Белгород, Курск, Ростов, Новороссийск области.

Чуть дороже - граница с Грузией.

 

Земля (не спутник). Идеальное качество. Стучать в аську: 5272901.

Монополисты хреновы...

Сдай мне лучше в аренду кусок границы, что бы чемодан проходил.

[mt6561]

Во-первых, впринципе ненада впускать к себе пакеты от своего клиента с неправильным IP адресом, всегда.

Они и не впускаются, просто по срабатыванию ACL клиентский порт ещё и гасится :)

Угу. И пользователи Планетскаев и прочих Спейсгейтов дружно посылают вам луч диареи.

 

Во-вторых, самый универсальный критерий детектирования флуда от клиента - это значительная ассиметрия in/out по пакетам в единицу времени (ну минут пять хотя-бы).

ХМ. Флуда - возможно, но пока за 5 минут наберется статистика - софтовый рутер просто ляжет (а с необходимым функционалом - они все софтовые, кроме разве что Juniper ERX).

Кроме того, спам это не остановит, сканирование - тоже.

Вроде цицки, который и от десятой части заявленной нагрузки ложится "при некоторых условиях" (читай - в практическом применении) - да. Юзайте комповые роутеры - и все будет как надо! ;)

[UglyAdmin]

Вроде цицки, который и от десятой части заявленной нагрузки ложится "при некоторых условиях" (читай - в практическом применении) - да. Юзайте комповые роутеры - и все будет как надо! ;)

Нет функционала нужного в компах. И вряд ли будет. И некошерно, чай оператор связи и не пионернет.

Если интересно что это за функционал такой - "вилан на клиента".

[leiden]

Человек, пытавшийся торгануть с границы емкостью, предлагает юзать софтовые роутеры? Мама, роди меня обратно :)

[UglyAdmin]

ХМ, действительно, ОТЖИГ нехилый.

[Гoсть]

Коллеги, а если подумать?

Неужели L2 устройства ложаться от клиентского L3-флуда? Вы же клиента не напрямую в роутер или брас тыкаете. И ДСЛАМ и коммутатор должны держаться, ну а если они лягли, то и трафа там не буить никакого. Еси же девайс на доступе не отвечает по SNMP, то это уже и так повод для драки.

Еще один проверенный способ - мониторинг утилизации процессоров рутеров. Это можно мониторить хоть каждые 30сек...

 

Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет.

[mt6561]

Коллеги, а если подумать?

Неужели L2 устройства ложаться от клиентского L3-флуда? Вы же клиента не напрямую в роутер или брас тыкаете. И ДСЛАМ и коммутатор должны держаться, ну а если они лягли, то и трафа там не буить никакого. Еси же девайс на доступе не отвечает по SNMP, то это уже и так повод для драки.

Еще один проверенный способ - мониторинг утилизации процессоров рутеров. Это можно мониторить хоть каждые 30сек...

 

Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет.

Если L2-устройство древнее, как говно мамонта - почему бы и нет?

 

Отсекается это звонком апстриму. Только для этого ангельску мову знать надо :)

[Гoсть]

Если L2-устройство древнее, как говно мамонта - почему бы и нет?

Вот это как раз одна из тех причин, по которым пионэрия в телекоммуникациях будет не вечной ;)

Отсекается это звонком апстриму. Только для этого ангельску мову знать надо :)

Товарисч проснись! Мы говорим об собственных клиентах. Звонить апстриму в этом случае - это еще одна причина, по которым пионэрия в телекоммуникациях будет не вечной ;)

[Прохожий]

Прохожий, я не предлагаю панацею. Ее вобще тут не может быть. Просто все другие варианты практически неюзабельны в продакшене. Отсекать это говно нада на самом входе, что-бы не подавиться им, это же очевидно. Других реальных вариантов нет.

Фишка в том, что реальные меры можно принимать только на базе стейтфул анализа на уровне 3-4, а такие железяки и процессорные мощности пока дороговаты для того, чтобы ставить их близко к юзверю. По сему юзабельных вариантов нет вообще, за разумные деньги конечно.

 

Недавно услышал хорошую мыслю по этому поводу - ограничивать PPS на апстриме. Поскольку флуд характерен именно высоким PPS, в то время как приложений, работающих с высоким PPS - просто нет. Зато коммутаторы L2 с возможностью ограничения PPS в природе существуют.

 

Один голосовой поток дает максимум 100 PPS, игры тоже имеют квантование вполне конечное, никак не 1 мсек. Прокачка данных идет крупными пакетами с умеренным PPS, и т.д., таким образом разумное ограничение никак не скажется на работе пользователя, но здорово сэкономит полосу.

 

Не слишком системное решение, но как симптоматическое лечение - прокатит...

Изменено 21 февраля, 2007 пользователем Прохожий

[Гoсть]

Стооп, отставить.

Мы о чем тут вобще говорим? О ФЛУДЕ? Что такое флуд? ФЛУД - это заполнение исходящего канала большим кол-вом мелких пакетов с целью DDoS. Флудящий не намерен и не ожидает получить все это обратно, иначе он сам себя ддосит. Таким образом, ГЛАВНЫЙ признак флуда - АССИМЕТРИЯ по пакетам на порту подключения флудящего.

Ты же предлагаешь все это говно поднять на уровень мозга, что-бы он там на что посмотрел внутре пакетов? Чего ты там ожидаешь рассмотреть то??