[RN3DCX]

откройте для себя qrator.

очень дорогое удовольствие!

 

 

ну и да.

 

deny udp / tcp 53 (естественно для своих днс стоит сделать исключения).

 

заодно еще udp 1900 в сторону абонентов заблокируйте.

P.S. За инфу благодарствую.

По этому поводу решил создать отдельную тему.

[zhenya`]

Я не про сам куратор.

https://radar.qrator.net

Тут регаетесь, добавляете свою ас себе, подтверждаете и радуетесь.

Типы атак/коэфы/айпишники. Все как че и бесплатно

[RN3DCX]

 

А потом расскажете, как заставить клиентов эти уязвимости выключить.

А зачем заставлять:

1. физику сразу перекрываем кислород, сам позвонит если что.

2. юрику потихонечку перекрываем кислород после телефонного звонка.

 

 

Я вот открытые прокси не могу заставить провайдеров выключить...

Какой вред провайдеру от прокси?

[YuryD]

Какой вред провайдеру от прокси?

Ну, этта, канал купленный клиентом выедают. Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке.

[RN3DCX]

Ну, этта, канал купленный клиентом выедают.

Да, не приятно.

Но не всегда же в плюсе жить.

Ведь большинства клиентов используют 30-50% от оплаченной полосы.

Вот и получает золотая середина, по утилизации канала.

Кто то оплатил канал и не пользуется им, а кто то льет безбожно.

Так что не вижу особой беды с прокси.

 

Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке.

Не пойму, если клиент поднял у себя прокси, забил канал под потолок, кто виноват!?. Конечно провайдер....

Но разъяренный Главбюст, на первых подступах к передовой будет нейтрализован тех. поддержкой, которая уже на этом собаку съела.

И об этом с радостью расскажет.

Что мол, уважаемый клиент, в данный момент кто у вас льет очередной сезон полнометражных немецких картин и параллельно еще раздает на пару тыЩь таких же задротов.

При чем за ваш счет и в рабочее время, которое то же оплачивается вами.

90% отсекается, а остальные упоратые 10%, ну как же без них, вечно развлекаю ТП.

 

 

Пока транслировал мысли в тект,

Жаба Аркадьевна ссылаясь на аргументы YuryD, предложила оптимизировать расходы по трафику, путем выявления прокси злодеев.

P.S. Задумался....

[AlKov]

А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)?

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

[jffulcrum]

Просить помощи у вышестоящего

[AlKov]

11 минут назад, jffulcrum сказал:

Просить помощи у вышестоящего

Что и было сделано, но это лечение всего лишь следствия. Никаких гарантий, что завтра эта зараза не прилетит на другой IP? 

И снова придется к вышестоящему.. Тут снимаем, тут лочим.. Аццкий костыль, однако.. :-(

Услуга защиты от DDoS для оператора стОит бешеных денег, которые руководство не позволит платить..

[jffulcrum]

Работайте с источниками трафика на уровне AS - пишите абузы. Чаще всего это какие-нибудь крупные VDS-провайдеры, вроде Хетцнера или Селектела - там поддержка достаточно быстро реагирует. С Китаем, конечно, сложно что-то сделать. 

[MrNv]

33 минуты назад, AlKov сказал:

А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)?

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам

[AlKov]

6 минут назад, MrNv сказал:

вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам

Увы, у меня не прокатит, т.к. bgp у меня нет.. Мы "тупиковый оператор". :-)  Своей AS нет, транзита нет.

[TriKS]

Тогда терпеть боль и костылить через апстрима. Иначе увы - никак.

[AlKov]

22 часа назад, TriKS сказал:

Тогда терпеть боль и костылить через апстрима. Иначе увы - никак.

А что может предложить мне апстрим? Ну или что мне у него запросить реализовать?

Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается..

[orlik]

1 hour ago, AlKov said:

А что может предложить мне апстрим?

Зависит от апстрима , может послать, т.к.  у него ничего нет, а может и предложить полноценную защиту от ддос атак.

[MrNv]

 

2 часа назад, AlKov сказал:

 Ну или что мне у него запросить реализовать?

можно и bgp попросить, для этого не обязательно иметь префикс и ас

[YuryD]

13 минут назад, MrNv сказал:

 

можно и bgp попросить, для этого не обязательно иметь префикс и ас

 Не у всех на приватных AS можно. Зато у большинства можно аутсорминг попросить. Ну и в свете оптимизайций у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :(

[TriKS]

3 часа назад, AlKov сказал:

А что может предложить мне апстрим? Ну или что мне у него запросить реализовать? 

Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается.. 

Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут.

1 час назад, MrNv сказал:

можно и bgp попросить, для этого не обязательно иметь префикс и ас

И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст.

Нормальные апстримы сами  в состоянии детектить ДДоС и отправлять в блекхол.

[MrNv]

10 минут назад, TriKS сказал:

И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст.

Нормальные апстримы сами  в состоянии детектить ДДоС и отправлять в блекхол.

так он пишет что

Цитата

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

т.е. какая то детекция есть, защита ниже стоящего оборудования тоже, а вот разгрузить аплинк как раз bgp и помог бы. Защита аплинками обычно денег стоит а комьюнити пока еще бесплатно

[AlKov]

29 минут назад, TriKS сказал:

Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут.

Ну вообщем-то, именно этот вариант и был предложен первым. Естественно, он меня почти не устраивает, т.к. при этом я полностью теряю контроль над ситуацией.

Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp".

 

Кстати..

1 час назад, YuryD сказал:

у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :(

Наш апстрим именно ТТК. И я бы не сказал, что они уже близкИ к РТК. Все вполне адекватно и достаточно оперативно.

Может конечно, потому-что мы с ними почти 15 лет работаем.

Да, еще один момент забыл уточнить - паблик IP у нас PA и именно от ТТК.

15 минут назад, MrNv сказал:

т.е. какая то детекция есть,

Да какая нахрен детекция! Бедный старый сисадмин ( я то бишь ) ломает себе мозг, шарясь глазьями по всяческим нетфлоу файлам и выхлопам tcpdump-а. :-)

Вместо того, чтобы спокойно спать (последняя атака стартанула в 23:30 и жужжела целый час). 

[TriKS]

52 минуты назад, MrNv сказал:

т.е. какая то детекция есть, защита ниже стоящего оборудования тоже

Это все - ручное рукоблудие. Разворачивать "авто" - стоит денег, порой куда бОльших, чем заказать простенькую защиту у апстрима.

38 минут назад, AlKov сказал:

Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp". 

в блекхол нельзя отправить порт. Увы. Разве что костылить скрипты обработки правил со стороны апстрима. Ну типа получил от вас комьюнити - запустили скрипт, который дропает трафик на диапазон портов. Но что-то мне подсказывает, что вам это врядли светит. Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты....

 

Изменено 25 августа, 2021 пользователем TriKS

[AlKov]

34 минуты назад, TriKS сказал:

запустили скрипт, который дропает трафик на диапазон портов.

да, именно что-то подобное я и имел ввиду.

 

35 минут назад, TriKS сказал:

Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты....

В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN, т.к. "ответа" от атакуемого IP я не наблюдал. И трафик летел именно на рандомные порты (что-то >3000).

Но вот src всегда был 123. Т.е. как бы есть за что зацепиться.

Или я ошибаюсь?

 

[TriKS]

1 час назад, AlKov сказал:

да, именно что-то подобное я и имел ввиду.

это костыль жесткий. И вам всеравно нужно отливить руками что летит, затем запихать это в комьюнити(отдельное комьюнити под каждый диапазон портов!), апстрим по этому комьюнити уже будет у себя скрипт запускать, который побежит на их бордер и поблочит то, что прописано. Но это врядли реализуется в вашем случае, да и костыль это. И не убирает работы руками по поиску того, что и куда летит.

1 час назад, AlKov сказал:

В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN

у UDP нет SYN. Это протокол без установки сосединения.

1 час назад, AlKov сказал:

Но вот src всегда был 123. Т.е. как бы есть за что зацепиться. 

Ну ОК. НТП амплификация. Вам нужно зарезать все пакеты в сторону вашего IP по src port + разрешить эти пакеты со списка валидных НТП. Апстрим сделает это? Кто будет следить за валидным списком НТП? Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку. Но почему многим пофиг - это другая история.

Изменено 25 августа, 2021 пользователем TriKS

[AlKov]

2 часа назад, TriKS сказал:

у UDP нет SYN. Это протокол без установки сосединения.

Ну да, фигню брякнул.. Совсем отупел с этим DDoS.. :-(

2 часа назад, TriKS сказал:

Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку.

А как это выглядит? Можно поподробнее?

[TriKS]

11 часов назад, AlKov сказал:

А как это выглядит? Можно поподробнее? 

Можно, но вам это мало что даст.

BCP38 в гугле.

[disappointed]

Я делал на базе заббикса, на атакуемых серверах стояли агенты, как только заббикс триггерил выход за рамки нормального профиля то выполнялось действие для хоста по ssh,

в нём на атакуемом сервере запускался tcpdump с паравозом пайпов который выдавал на выходе через несколько секунд атакуемый ip (на серверах их было много),

этот айпишник через < тут же закидывался в скрипт который врывался по телнету на маршрутизатор и добавлял его с blackhole коммюнити аплинкам.

 

Делал на коленках, скорость срабатывания была не хуже 65-70 секунд, но это из-за снятия данных раз в минуту. Быстрее не нужно было.