Отбиваю SYN flood DoS

[nuclearcat]

Вобщем один из ресурсов начал выгребать 400 Mbps атаку, SYN flood, мелкими пакетиками. Хосты в наличии отбивают ее скажем так на пределе возможностей, (82547 сетевки, Xeon L5520 2.27 Ghz - не самое мощное железо). Новый сервер достаточно дорог, дешевле аппаратного решения.

Можно конечно раскидать на кучу хостов, но мне предложили за сносную цену ServerIron 350. Pros: Отбивает атаку аппаратно, и судя по всему включительно до ~30Gbps. Относительно дешево. Cons: кот в мешке.

Как думаете, стоит ли овчинка выделки? Кто-нить щупал эту железяку?

[mschedrin]

Так надо взять на тест!

[nuclearcat]

Не до тестов, фиксить проблему как всегда надо "вчера".

[MMM]

Взять бесплатно на неделю на тест, понравится - купить.

 

а флудят, случаем, не те же существа, что предложили купить железку? :)

[caz]

Вобщем один из ресурсов начал выгребать 400 Mbps атаку, SYN flood, мелкими пакетиками. Хосты в наличии отбивают ее скажем так на пределе возможностей, (82547 сетевки, Xeon L5520 2.27 Ghz - не самое мощное железо). Новый сервер достаточно дорог, дешевле аппаратного решения.

Можно конечно раскидать на кучу хостов, но мне предложили за сносную цену ServerIron 350. Pros: Отбивает атаку аппаратно, и судя по всему включительно до ~30Gbps. Относительно дешево. Cons: кот в мешке.

Как думаете, стоит ли овчинка выделки? Кто-нить щупал эту железяку?

 

с этим спавится наверное вся линека брокейда начиная от jetcore и выше..

(config)#ip tcp ?
 burst-normal   Number of packets per second in normal burst mode
 tcp-security   Enable TCP security described in
                draft-ietf-tcpm-tcpsecure-00.txt

[nuclearcat]

Взять бесплатно на неделю на тест, понравится - купить.

 

а флудят, случаем, не те же существа, что предложили купить железку? :)

Абсолютно точно нет, у меня есть отдельное коло специально для обработки атак. У Ливанцев это постоянное явление, любят конкуренты решать проблемы грязными методами.

[Zaqwr]

с syn флудом обычно на сервере всё решается включением net.ipv4.tcp_syncookies = 1 + бана в ipset , или у вас 400 mbps входящего флуда?

[nuclearcat]

400 mbps входящего флуда, все ip src - spoofed

временно решил iptables rate-limit на SYN, разрешением IP адресов ранее работавших клиентов ну и еще несколько мер

syncookies помощник на ~10-50kpps, дальше сервер начинает помирать, да и получается mirrored flood на проспуфленные адреса (ACK-ами)

[Ivan_83]

Пофиксите синфлуд, начнётся на другом уровне ДоС.

[nuclearcat]

железка может поумнее блокировки + для других уровней у меня тоже есть планы действий

[Ivan_83]

Тогда другой вопрос: насколько принципиально держать это у себя? - пусть хостятся где нибудь по дальше, или пусть там трафик чистят, а к вам гонят уже очищенным.

[nuclearcat]

Я уже так сделал, и фронтенд стоит на хорошем операторе, где я могу легко апнуться до 10G к примеру.

[kostich]

Я уже так сделал, и фронтенд стоит на хорошем операторе, где я могу легко апнуться до 10G к примеру.

 

ну а к нам на тест не судьба была поставить? http://ddos-protection.ru/ сутки халявы. апаться до 10G не выход. в этом году синов до 6mpps изображают... больше пока не видели. мы на всякий площадки от текущей мощи чуть чуть еще подзаапгрейдили, но в вашем случае даже пара mpps будет смертью.

[nuclearcat]

kostich, мне главное, чтоб было чем аппаратно роутить, ибо я прекрасно знаю, что писюк сложится даже раньше 1 mpps.

serveriron-ов можно поставить несколько, разбалансировав по адресам.

 

Опять же, при большом желании я могу и на писюках попытаться изобразить, что-то. К примеру whitelist, через routing.

Т.е. по умолчанию траффик идет на анализаторы, там определяем легитимные паттерны SYN (syncookies + syn retries + еще кое-какие нюансы), и вносим в whitelist.

Затем вносим по парсингу ранее вошедших легитимных посетителей подсети их провайдеров, если SYN flood с очевидно проспуфленных левых адресов в тот же whitelist.

Все это можно совместить с SI350, чтобы снизить на него нагрузку.

 

роутить, можно даже на циске 3560G

[nuclearcat]

Хотя в реальности даже после того как я нашел железо, шефы е%али мне мозг, что типа все херово и потеряем клиентов, что типа решение надо вот прямо сейчас, а со счетом на SI350, бендвич и сервер мурыжили 4 дня, это с учетом, что вайр будет идти неделю, и само железо тоже около того. Решил в течении половины вечера на имеющемся говне.

Ненавижу идиотизм.

[Dyr]

Я бы вешал на "лишние" SYNы в цепочку iptables TARPIT. Специально для таких случаев создана.

[nuclearcat]

Dyr, эти SYN-ы почти стопроцентно проспуфленные, судя по возвращающимся на SYN+ACK icmp сообщениям.

Пустая трата ресурсов (исходящего траффика).

[s.lobanov]

Я бы вешал на "лишние" SYNы в цепочку iptables TARPIT. Специально для таких случаев создана.

 

Это десткая игрушка, которая спасает от дос-атак школьников, которые что-то прочитали про сокеты.

[Dyr]

nuclearcat, понятно.

 

Анализ SYN-пакетов не делали?

 

s.lobanov, а нельзя ли пояснить?

 

 

[s.lobanov]

s.lobanov, а нельзя ли пояснить?

 

TARPIT рассчитан на то, что атакующий собирается честно отрабатывать механизм рукопожатия tcp. Если же тупо генерить syn-пакеты(например, через pktgen или нарисовать pcap-файл и выплюнуть его tcpreplay-ем в интерфейс), то в этом случае, как выше уже написал nuclearcat вы лишь тратите свою исходящую полосу, отвечая на syn, а если ещё и ip.src заспуфлен, то тем самым вы ещё и свой ip компрометируете.

[Dyr]

Да, действительно, что-то я ступил.

 

 

 

 

 

[uraeus]

Dyr, вы вообще то в теме?

 

Топикстартеру: Самым дешово-деревянным способом для вас (по крону, меняя N раз в time_clock) выдавайте редирект в нужный порт.

иначе никакие si вам не в помощь. Против вас другая лига играет - ipso fatum.

 

зы. отпишитесь в личку, если будет какой-то зримый результат.

[nuclearcat]

uraeus - у меня все нормально уже

 

порт не вариант, т.к. это не вебсайт, а еще и закрытый специализированный софт

[kostich]

Решил в течении половины вечера на имеющемся говне.

Ненавижу идиотизм.

 

вот покупать это железо и есть идиотизм.

[dignity]

Ментальные методы предпочитаете? Через /dev/astral?