RN3DCX Опубликовано 9 января, 2017 · Жалоба откройте для себя qrator. очень дорогое удовольствие! ну и да. deny udp / tcp 53 (естественно для своих днс стоит сделать исключения). заодно еще udp 1900 в сторону абонентов заблокируйте. P.S. За инфу благодарствую. По этому поводу решил создать отдельную тему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 · Жалоба Я не про сам куратор. https://radar.qrator.net Тут регаетесь, добавляете свою ас себе, подтверждаете и радуетесь. Типы атак/коэфы/айпишники. Все как че и бесплатно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 января, 2017 · Жалоба А потом расскажете, как заставить клиентов эти уязвимости выключить. А зачем заставлять: 1. физику сразу перекрываем кислород, сам позвонит если что. 2. юрику потихонечку перекрываем кислород после телефонного звонка. Я вот открытые прокси не могу заставить провайдеров выключить... Какой вред провайдеру от прокси? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 января, 2017 · Жалоба Какой вред провайдеру от прокси? Ну, этта, канал купленный клиентом выедают. Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 января, 2017 · Жалоба Ну, этта, канал купленный клиентом выедают. Да, не приятно. Но не всегда же в плюсе жить. Ведь большинства клиентов используют 30-50% от оплаченной полосы. Вот и получает золотая середина, по утилизации канала. Кто то оплатил канал и не пользуется им, а кто то льет безбожно. Так что не вижу особой беды с прокси. Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке. Не пойму, если клиент поднял у себя прокси, забил канал под потолок, кто виноват!?. Конечно провайдер.... Но разъяренный Главбюст, на первых подступах к передовой будет нейтрализован тех. поддержкой, которая уже на этом собаку съела. И об этом с радостью расскажет. Что мол, уважаемый клиент, в данный момент кто у вас льет очередной сезон полнометражных немецких картин и параллельно еще раздает на пару тыЩь таких же задротов. При чем за ваш счет и в рабочее время, которое то же оплачивается вами. 90% отсекается, а остальные упоратые 10%, ну как же без них, вечно развлекаю ТП. Пока транслировал мысли в тект, Жаба Аркадьевна ссылаясь на аргументы YuryD, предложила оптимизировать расходы по трафику, путем выявления прокси злодеев. P.S. Задумался.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 24 августа, 2021 · Жалоба А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)? Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 августа, 2021 · Жалоба Просить помощи у вышестоящего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 24 августа, 2021 · Жалоба 11 минут назад, jffulcrum сказал: Просить помощи у вышестоящего Что и было сделано, но это лечение всего лишь следствия. Никаких гарантий, что завтра эта зараза не прилетит на другой IP? И снова придется к вышестоящему.. Тут снимаем, тут лочим.. Аццкий костыль, однако.. :-( Услуга защиты от DDoS для оператора стОит бешеных денег, которые руководство не позволит платить.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 августа, 2021 · Жалоба Работайте с источниками трафика на уровне AS - пишите абузы. Чаще всего это какие-нибудь крупные VDS-провайдеры, вроде Хетцнера или Селектела - там поддержка достаточно быстро реагирует. С Китаем, конечно, сложно что-то сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 24 августа, 2021 · Жалоба 33 минуты назад, AlKov сказал: А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)? Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-( вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 24 августа, 2021 · Жалоба 6 минут назад, MrNv сказал: вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам Увы, у меня не прокатит, т.к. bgp у меня нет.. Мы "тупиковый оператор". :-) Своей AS нет, транзита нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 24 августа, 2021 · Жалоба Тогда терпеть боль и костылить через апстрима. Иначе увы - никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 августа, 2021 · Жалоба 22 часа назад, TriKS сказал: Тогда терпеть боль и костылить через апстрима. Иначе увы - никак. А что может предложить мне апстрим? Ну или что мне у него запросить реализовать? Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 25 августа, 2021 · Жалоба 1 hour ago, AlKov said: А что может предложить мне апстрим? Зависит от апстрима , может послать, т.к. у него ничего нет, а может и предложить полноценную защиту от ддос атак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 25 августа, 2021 · Жалоба 2 часа назад, AlKov сказал: Ну или что мне у него запросить реализовать? можно и bgp попросить, для этого не обязательно иметь префикс и ас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 августа, 2021 · Жалоба 13 минут назад, MrNv сказал: можно и bgp попросить, для этого не обязательно иметь префикс и ас Не у всех на приватных AS можно. Зато у большинства можно аутсорминг попросить. Ну и в свете оптимизайций у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 25 августа, 2021 · Жалоба 3 часа назад, AlKov сказал: А что может предложить мне апстрим? Ну или что мне у него запросить реализовать? Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается.. Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут. 1 час назад, MrNv сказал: можно и bgp попросить, для этого не обязательно иметь префикс и ас И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст. Нормальные апстримы сами в состоянии детектить ДДоС и отправлять в блекхол. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 25 августа, 2021 · Жалоба 10 минут назад, TriKS сказал: И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст. Нормальные апстримы сами в состоянии детектить ДДоС и отправлять в блекхол. так он пишет что Цитата Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-( т.е. какая то детекция есть, защита ниже стоящего оборудования тоже, а вот разгрузить аплинк как раз bgp и помог бы. Защита аплинками обычно денег стоит а комьюнити пока еще бесплатно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 августа, 2021 · Жалоба 29 минут назад, TriKS сказал: Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут. Ну вообщем-то, именно этот вариант и был предложен первым. Естественно, он меня почти не устраивает, т.к. при этом я полностью теряю контроль над ситуацией. Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp". Кстати.. 1 час назад, YuryD сказал: у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :( Наш апстрим именно ТТК. И я бы не сказал, что они уже близкИ к РТК. Все вполне адекватно и достаточно оперативно. Может конечно, потому-что мы с ними почти 15 лет работаем. Да, еще один момент забыл уточнить - паблик IP у нас PA и именно от ТТК. 15 минут назад, MrNv сказал: т.е. какая то детекция есть, Да какая нахрен детекция! Бедный старый сисадмин ( я то бишь ) ломает себе мозг, шарясь глазьями по всяческим нетфлоу файлам и выхлопам tcpdump-а. :-) Вместо того, чтобы спокойно спать (последняя атака стартанула в 23:30 и жужжела целый час). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 25 августа, 2021 (изменено) · Жалоба 52 минуты назад, MrNv сказал: т.е. какая то детекция есть, защита ниже стоящего оборудования тоже Это все - ручное рукоблудие. Разворачивать "авто" - стоит денег, порой куда бОльших, чем заказать простенькую защиту у апстрима. 38 минут назад, AlKov сказал: Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp". в блекхол нельзя отправить порт. Увы. Разве что костылить скрипты обработки правил со стороны апстрима. Ну типа получил от вас комьюнити - запустили скрипт, который дропает трафик на диапазон портов. Но что-то мне подсказывает, что вам это врядли светит. Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты.... Изменено 25 августа, 2021 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 августа, 2021 · Жалоба 34 минуты назад, TriKS сказал: запустили скрипт, который дропает трафик на диапазон портов. да, именно что-то подобное я и имел ввиду. 35 минут назад, TriKS сказал: Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты.... В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN, т.к. "ответа" от атакуемого IP я не наблюдал. И трафик летел именно на рандомные порты (что-то >3000). Но вот src всегда был 123. Т.е. как бы есть за что зацепиться. Или я ошибаюсь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 25 августа, 2021 (изменено) · Жалоба 1 час назад, AlKov сказал: да, именно что-то подобное я и имел ввиду. это костыль жесткий. И вам всеравно нужно отливить руками что летит, затем запихать это в комьюнити(отдельное комьюнити под каждый диапазон портов!), апстрим по этому комьюнити уже будет у себя скрипт запускать, который побежит на их бордер и поблочит то, что прописано. Но это врядли реализуется в вашем случае, да и костыль это. И не убирает работы руками по поиску того, что и куда летит. 1 час назад, AlKov сказал: В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN у UDP нет SYN. Это протокол без установки сосединения. 1 час назад, AlKov сказал: Но вот src всегда был 123. Т.е. как бы есть за что зацепиться. Ну ОК. НТП амплификация. Вам нужно зарезать все пакеты в сторону вашего IP по src port + разрешить эти пакеты со списка валидных НТП. Апстрим сделает это? Кто будет следить за валидным списком НТП? Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку. Но почему многим пофиг - это другая история. Изменено 25 августа, 2021 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 августа, 2021 · Жалоба 2 часа назад, TriKS сказал: у UDP нет SYN. Это протокол без установки сосединения. Ну да, фигню брякнул.. Совсем отупел с этим DDoS.. :-( 2 часа назад, TriKS сказал: Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку. А как это выглядит? Можно поподробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 26 августа, 2021 · Жалоба 11 часов назад, AlKov сказал: А как это выглядит? Можно поподробнее? Можно, но вам это мало что даст. BCP38 в гугле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 26 августа, 2021 · Жалоба Я делал на базе заббикса, на атакуемых серверах стояли агенты, как только заббикс триггерил выход за рамки нормального профиля то выполнялось действие для хоста по ssh, в нём на атакуемом сервере запускался tcpdump с паравозом пайпов который выдавал на выходе через несколько секунд атакуемый ip (на серверах их было много), этот айпишник через < тут же закидывался в скрипт который врывался по телнету на маршрутизатор и добавлял его с blackhole коммюнити аплинкам. Делал на коленках, скорость срабатывания была не хуже 65-70 секунд, но это из-за снятия данных раз в минуту. Быстрее не нужно было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...