Jump to content

как бороться с DoS на сеть провайдера?


Recommended Posts

Цитата

"Путин введи войска", или "дяденька нужно покупать помощнее железо".

:facepalm: 

 

Ваше глубокое понимание работы протокола TCP сводиться к гуглению и рекомендациям 100500 летней давности. Поверте, я с проблематикой знаком не по наслышке, а в практике.

Цитата

дебильное предположение

Вы у себя стенд соберите, проверте и отпишите. А мы вам похлопаем в ладошки. Только без политики :)

Дяденькая, я Вам сам таких статей могу пачку написать\зарерайтить. Только вот их рецепты на реальной атаке и в реальных условиях наших сетей на 0 умножаються.

Когда к тебе летит 2-5M pps флуда на ~ 500-1000Мбит  Вы можете сколько угодно крутить-вертеть теорию и ненавидеть путена, оно не поможет (100%). Хотя причем оно здесь, хз. Вам виднее.

А если атака комбинирована ? Что тогда? Блекхол атакуемого, расширение полоски, фреймворки netmap или Intel DPDK на фаервол. 

Клауд фларе ? )) ДНС и бгп сервера на серые адреса?

Цитата

 

Большинство нормальных магистралов не пропускают трафик от ип не анонсированные в райпе.

Этот простой прием режет 90% спуфинга.

 

Дяденька, а если спуфаные рандомно адреса берутся из БД RIPE?  Там же подмена адресов идет в поле отправителя.

А какие нормальные магистралы у нас по вашему  авторитетному мнению ? Знаю на гиганете хорошая защита от DDoS. Что там у них за комплекс ?

Вы нас просвятите, а не ругайте :)

Edited by loki
Link to post
Share on other sites
  • Replies 61
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Это если в двух слова, на самом деле защиты строятся посерьезней Типы DDoS-атак https://ddos-guard.net/ru/terminology   Защита от хакерских атак с помощью ipfw https://www.opennet.ru/base/sec

Когда к тебе летит 2-5M pps флуда на ~ 500-1000Мбит, или Луна под откос, Ты можете сколько угодно без толку крутить-вертеть абсолютно любую железяку, самое разумное похлопать перед смертью жену по поп

При синк-флуде рандомными ойпи помогает нулроут на адрес атакуемого.  Но не на долго :))))   Вот примеры для атак (нейротерорризма):   1. DoS Land hping3 -V -c 13666 -d 120 -S

Posted Images

Когда к тебе летит 2-5M pps флуда на ~ 500-1000Мбит, или Луна под откос, Ты можете сколько угодно без толку крутить-вертеть абсолютно любую железяку, самое разумное похлопать перед смертью жену по попе.
Здесь простые люди, в пределах разумных денег, пытаются вести умеренный бизнес и просят посильного совета - кто и как.

 

ps. Просто поражает твое упорное желание хоть с кем то, хоть о чем... то пообщаться на локале... и дикое желание других не иметь дела с тобой скользким.

  • Like 3
Link to post
Share on other sites

Вот одно из правил которое у нас стоит на МТ и фильтрует транзитный трафик :

В первом правеле поменять интерфейс который смотрит наружу.
/ip firewall filter
add action=jump chain=forward comment=\
    "-------------DDoS---------- Protect--------1--" connection-state=new \
    in-interface=ether1 jump-target=detect-ddos
add action=return chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------2--" dst-limit=\
    110,110,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    30m chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------3--"
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    30m chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------4--"
add action=drop chain=forward comment=\
    "-------------DDoS---------- Protect--------5--" connection-state=new \
    disabled=no dst-address-list=ddosed src-address-list=ddoser
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "-------------DDoS---------- Protect--------6--" dst-address-list=ddosed \
    new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser
/ip route
add comment="-------------DDoS---------- Protect--------7--" distance=1 \
    routing-mark=ddoser-route-mark type=blackhole

 

Может кому пригодиться, само правило (это пункт 1-5) было найдено на просторах  инета и немного модифицировано (это пункт 6-7).

В пункте 2 можете поиграть со значением dst-limit под ваши нужды ...

Edited by max_m
  • Like 1
Link to post
Share on other sites
  • 3 months later...

Сколько у вас там легитимного трафика? Можем предложить свои услуги по зищите от ДДОС атак. Можем реализовать как на ваших IP адресах, так и на наших.

Link to post
Share on other sites
В 29.01.2018 в 11:53, pavlabor сказал:

# Ограничение числа одновременных соединений:
add 1005 allow ip  from any to any  setup limit src-addr 10

простите, но на удп это действует ?

Link to post
Share on other sites

iptables + synproxy

стоит сервер на Е5 для "прозрачной" защиты веб-серверов. До 10Гбит/с и 2Mpps держал, больше пока не приходило.

Link to post
Share on other sites
  • 3 weeks later...

Последние 2 недели периодически идет ddos на граничный бордер.

Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%, зайти на него получается через раз, в забикс перестает писать, а общий трафик падает в 5-10 раз. В один из таких моментов получилось попасть на него и увидеть что по 179 порту с левых ip летят тысячи пакетов. Разрешили 179 порт только на ip BGP, а все остальные запретили. Через несколько часов увидели сотни тысяч дропнутых пакетов по этим правилам. Но уже вечером CPU снова был под 100%, увидеть трафик не удалось, но есть подозрение что начали подставлять нужные ip. У кого есть опыт борьбы на Микротике с данной заразой - пишите в ЛС, с меня вознаграждение. Нашел похожую ситуацию, но на Juniper https://habr.com/post/186566/#comments

ddos_179_bgp.jpg

Link to post
Share on other sites
4 часа назад, delfin сказал:

Последние 2 недели периодически идет ddos на граничный бордер.

Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%, зайти на него получается через раз, в забикс перестает писать, а общий трафик падает в 5-10 раз. В один из таких моментов получилось попасть на него и увидеть что по 179 порту с левых ip летят тысячи пакетов. Разрешили 179 порт только на ip BGP, а все остальные запретили. Через несколько часов увидели сотни тысяч дропнутых пакетов по этим правилам. Но уже вечером CPU снова был под 100%, увидеть трафик не удалось, но есть подозрение что начали подставлять нужные ip. У кого есть опыт борьбы на Микротике с данной заразой - пишите в ЛС, с меня вознаграждение. Нашел похожую ситуацию, но на Juniper https://habr.com/post/186566/#comments

Судя по фразе "Разрешили 179 порт только на ip BGP", у тебя не паханое поле.

На счет "Нашел похожую ситуацию", тут не все однозначно.

Ты описал две атаки

1. Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов

2. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%

Пример решает распределение нагрузки для обеспечения контроля над бордером - "Основная идея защиты роутера состоит в фильтрации всего трафика предназначенного для RE. Создание фильтра позволит перенести нагрузку, создаваемую DDOS атакой, с CPU RE на CPU PFE роутера, что даст возможность RE обрабатывать только реальные пакеты и не тратить процессорное время на другой трафик."

От первой атаки это решение не спасает в принципе и защиты от такой атаки, для защиты в одиночку - в реале нет.

То есть, защиту на первую атаку рассматривать смысла нет.

По второй атаке, идея простая, ставить скрипт анализатор нагрузки на цпу, при критическом значении, запускать анализатор трафика и загонять в бан ир с максимальным значением. Задачу может обсчитывать тазик_рядом.

 

По первой, нужно смотреть, думаю что в сети уже существуют проекты по блокировке досеров.

Идея такая, распределенная доверительная система по анализу трафика, типа у прова ставится сервер (тазик_рядом) который мониторит ситуацию и ведет обмен с соседями.

Должно обрабатывается две задачи

Если тазик_рядом обнаруживает атаку, он делает то что я написал выше, но если оказывается что досер имеет ип из списка доверительных  провов, параллельно отбрасывает доверительныому тазику_рядом прова о атаке с его сети.

Тазик_рядом досера ведет анализ своего клиента и если приходит к выводу что атака действительно имеет место, "банит на дому", с отбросом письма клиенту о причине бана.

Такую же систему можно и напрягать сделать на внешних линках магистралов.

Но что то подобное я встречал еще лет десять назад на бекбонах в Европе.

Link to post
Share on other sites
  • 5 months later...

А никто не сталкивался с проблемой, что Микротик не может отправить вышестоящему магистралу данные "ip отправлен в blackhole", либо неккоректно настроено БГП, что это не видит магистрал?

Link to post
Share on other sites
  • 2 weeks later...
В 21.05.2018 в 08:01, pavlabor сказал:

Судя по фразе "Разрешили 179 порт только на ip BGP", у тебя не паханое поле.

На счет "Нашел похожую ситуацию", тут не все однозначно.

Ты описал две атаки

1. Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов

2. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%

Пример решает распределение нагрузки для обеспечения контроля над бордером - "Основная идея защиты роутера состоит в фильтрации всего трафика предназначенного для RE. Создание фильтра позволит перенести нагрузку, создаваемую DDOS атакой, с CPU RE на CPU PFE роутера, что даст возможность RE обрабатывать только реальные пакеты и не тратить процессорное время на другой трафик."

От первой атаки это решение не спасает в принципе и защиты от такой атаки, для защиты в одиночку - в реале нет.

То есть, защиту на первую атаку рассматривать смысла нет.

По второй атаке, идея простая, ставить скрипт анализатор нагрузки на цпу, при критическом значении, запускать анализатор трафика и загонять в бан ир с максимальным значением. Задачу может обсчитывать тазик_рядом.

 

По первой, нужно смотреть, думаю что в сети уже существуют проекты по блокировке досеров.

Идея такая, распределенная доверительная система по анализу трафика, типа у прова ставится сервер (тазик_рядом) который мониторит ситуацию и ведет обмен с соседями.

Должно обрабатывается две задачи

Если тазик_рядом обнаруживает атаку, он делает то что я написал выше, но если оказывается что досер имеет ип из списка доверительных  провов, параллельно отбрасывает доверительныому тазику_рядом прова о атаке с его сети.

Тазик_рядом досера ведет анализ своего клиента и если приходит к выводу что атака действительно имеет место, "банит на дому", с отбросом письма клиенту о причине бана.

Такую же систему можно и напрягать сделать на внешних линках магистралов.

Но что то подобное я встречал еще лет десять назад на бекбонах в Европе.

Маразматическая дичь.

В 13.11.2018 в 10:15, ddd_kr сказал:

А никто не сталкивался с проблемой, что Микротик не может отправить вышестоящему магистралу данные "ip отправлен в blackhole", либо неккоректно настроено БГП, что это не видит магистрал?

Магистрал послал культурно нах, а вы с этим посланием на форум за советом?

Edited by loki
  • Haha 1
Link to post
Share on other sites

"Магистрал (форум) послал культурно нах, а вы (loki) с этим посланием на (форум всё так и лезете) за советом?" (loki posted 11/22/2018 08:16 AM (edited))

Edited by M1kol@
Link to post
Share on other sites
В 21.05.2018 в 03:09, delfin сказал:

Последние 2 недели периодически идет ddos на граничный бордер.

Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%, зайти на него получается через раз, в забикс перестает писать, а общий трафик падает в 5-10 раз. В один из таких моментов получилось попасть на него и увидеть что по 179 порту с левых ip летят тысячи пакетов. Разрешили 179 порт только на ip BGP, а все остальные запретили. Через несколько часов увидели сотни тысяч дропнутых пакетов по этим правилам. Но уже вечером CPU снова был под 100%, увидеть трафик не удалось, но есть подозрение что начали подставлять нужные ip. У кого есть опыт борьбы на Микротике с данной заразой - пишите в ЛС, с меня вознаграждение. Нашел похожую ситуацию, но на Juniper https://habr.com/post/186566/#comments

ddos_179_bgp.jpg

Перейдите на серые адреса с вашим аплинком и готовьтесь расширять канал.

  • Like 1
Link to post
Share on other sites
2 часа назад, Erixxon сказал:

Закрой все порты на маршутизаторе, на аплинке запрети UDP на айпи маршутизатора, клиентов на айпи которых заливают в нульроут 

Заебок совет, сенсей.

FB_IMG_1542948093924.jpg

Link to post
Share on other sites

Красивая болтология. Вангую, что дешевле перейти на адреса из rfc1917 для bgp пары, чем покупать защиту за 20к и городить фаервол, который даст ещё большую нагрузку на процессор при флуде на микровтык. Когда идёт атака и клиенты выносят мозг, оно можно гуглить, философствовать, ковырятся в носу, давать дебильные советы на форуме. Микротики не от хорошей жизни ставят :)

Link to post
Share on other sites
25 минут назад, idakrgm сказал:

Нас по несколько часов в день досят... Уже которую неделю

Отправлено с моего PRA-LA1 через Tapatalk
 


с BGP всё проще намного = графики по аплинкам/ix'ам + netflow дадут картину куда смотреть
а там уже blackhole community к аплинку или тушить icmp на хосты которые дудосят
Мамкиных хацкеров вполне останавливает

Link to post
Share on other sites
В 29.11.2018 в 23:47, mixtery сказал:


с BGP всё проще намного = графики по аплинкам/ix'ам + netflow дадут картину куда смотреть
а там уже blackhole community к аплинку или тушить icmp на хосты которые дудосят
Мамкиных хацкеров вполне останавливает

От мамкиных такие костыли остановят не надолго,а он папкиных волосы на жопе рвать ? Еще видать не сталкивались :) Если у хацкера 1-10Гбитный канал и есть возможность пустить трафик через микс с миром? Закрыть ICMP это полумера, есть куча других методов сканирования. 

Link to post
Share on other sites
В 23.11.2018 в 21:53, Erixxon сказал:

Вообще могу посоветовать Arbor TMS - есть вариант б/у 23.000$, 1.5гбит трафика чистого включено в стоимость. 

 

Про стоимость пролонгации подписок не забудьте уточнить. Или там таки перманент?

Решение Арбора лучшее в мире, если апстрим имеет Арбор и есть у вас Арбор, то cloud signaling + bgp flowspec зароют любой DDoS. Но ценник...

Link to post
Share on other sites
16 минут назад, rliskov сказал:

Всем дорого времени суток! Есть подозрения на DDOS. Ниже скрин из фаервола. Похоже на ddos?

 

 

Скорее брутфорс. Что у тебя висит на 8000 порту? 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • By vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • By antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
       
      Hi-Load Systems LLC
       Украина, 49000
       Днепр, ул. Казакова, 2Д
       БЦ «Континент»
       +380 68 420 0111; +380 95 420 0111
       
       
       
       
    • By pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • By KGroup
      Доброго времени суток коллеги.
      Такая проблема случилось...
      Взломали сеть - положили биллинг и микротик основной. 
      Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 
      Восстанавливаем уже третьи сутки.
       
      Вопрос:
      Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.
      Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.
      Заранее спасибо.

×
×
  • Create New...