Перейти к содержимому
Local
USD

как бороться с DoS на сеть провайдера?

Рекомендованные сообщения

Цитата

"Путин введи войска", или "дяденька нужно покупать помощнее железо".

:facepalm: 

 

Ваше глубокое понимание работы протокола TCP сводиться к гуглению и рекомендациям 100500 летней давности. Поверте, я с проблематикой знаком не по наслышке, а в практике.

Цитата

дебильное предположение

Вы у себя стенд соберите, проверте и отпишите. А мы вам похлопаем в ладошки. Только без политики :)

Дяденькая, я Вам сам таких статей могу пачку написать\зарерайтить. Только вот их рецепты на реальной атаке и в реальных условиях наших сетей на 0 умножаються.

Когда к тебе летит 2-5M pps флуда на ~ 500-1000Мбит  Вы можете сколько угодно крутить-вертеть теорию и ненавидеть путена, оно не поможет (100%). Хотя причем оно здесь, хз. Вам виднее.

А если атака комбинирована ? Что тогда? Блекхол атакуемого, расширение полоски, фреймворки netmap или Intel DPDK на фаервол. 

Клауд фларе ? )) ДНС и бгп сервера на серые адреса?

Цитата

 

Большинство нормальных магистралов не пропускают трафик от ип не анонсированные в райпе.

Этот простой прием режет 90% спуфинга.

 

Дяденька, а если спуфаные рандомно адреса берутся из БД RIPE?  Там же подмена адресов идет в поле отправителя.

А какие нормальные магистралы у нас по вашему  авторитетному мнению ? Знаю на гиганете хорошая защита от DDoS. Что там у них за комплекс ?

Вы нас просвятите, а не ругайте :)

Изменено пользователем loki

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда к тебе летит 2-5M pps флуда на ~ 500-1000Мбит, или Луна под откос, Ты можете сколько угодно без толку крутить-вертеть абсолютно любую железяку, самое разумное похлопать перед смертью жену по попе.
Здесь простые люди, в пределах разумных денег, пытаются вести умеренный бизнес и просят посильного совета - кто и как.

 

ps. Просто поражает твое упорное желание хоть с кем то, хоть о чем... то пообщаться на локале... и дикое желание других не иметь дела с тобой скользким.

  • Like 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tcp syn flood как то последнее время редко прилетает.

. В основном UDP Flood до 10Gbps.

 

Изменено пользователем foreverok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Здесь простые люди, в пределах разумных денег, пытаются вести умеренный бизнес и просят посильного совета - кто и как.

 

Так пусть эти простые люди не дают своих дебильновато-обиженых оценочных суждений, если с сабжем только по гуглу знакомы.

А тем, кто столкнется, хоть какая-то польза от топика будет. Проблематика освещена. Рецепты и помощь по борьбе практики подскажут.

Кста, как ваш там сихрофазомелафон, работает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот одно из правил которое у нас стоит на МТ и фильтрует транзитный трафик :

В первом правеле поменять интерфейс который смотрит наружу.
/ip firewall filter
add action=jump chain=forward comment=\
    "-------------DDoS---------- Protect--------1--" connection-state=new \
    in-interface=ether1 jump-target=detect-ddos
add action=return chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------2--" dst-limit=\
    110,110,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    30m chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------3--"
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    30m chain=detect-ddos comment=\
    "-------------DDoS---------- Protect--------4--"
add action=drop chain=forward comment=\
    "-------------DDoS---------- Protect--------5--" connection-state=new \
    disabled=no dst-address-list=ddosed src-address-list=ddoser
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "-------------DDoS---------- Protect--------6--" dst-address-list=ddosed \
    new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser
/ip route
add comment="-------------DDoS---------- Protect--------7--" distance=1 \
    routing-mark=ddoser-route-mark type=blackhole

 

Может кому пригодиться, само правило (это пункт 1-5) было найдено на просторах  инета и немного модифицировано (это пункт 6-7).

В пункте 2 можете поиграть со значением dst-limit под ваши нужды ...

Изменено пользователем max_m

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 29.01.2018 в 10:39, hailnora сказал:

Обколются своей марихуаной, а потом я*** друг друга в с****!

ОБСТАВЯЦА СВАИМИ СУФТРУТЕРАМИ А ПАТОМ ПЫШУТЬ ДРУХ ДРУХУ ПАМАХИТЕ НА ФОРУМИ

НУЖНА СТАВИТЬ ЦИСКА АСР И БИГИПИ ФЛОУСПЕК С АПЛИНКАМИ БУДУВАТЬ!

 

:)

Диктатор, перелогинься!

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

настроил fastnetmon
прилетало вот такое: 

XxXxX/224104 pps incoming at 30_01_18_20:41:55
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сколько у вас там легитимного трафика? Можем предложить свои услуги по зищите от ДДОС атак. Можем реализовать как на ваших IP адресах, так и на наших.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 29.01.2018 в 11:53, pavlabor сказал:

# Ограничение числа одновременных соединений:
add 1005 allow ip  from any to any  setup limit src-addr 10

простите, но на удп это действует ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, DAnEq сказал:

простите, но на удп это действует ?

Я же сбросил ссылку на первоисточник, спросите у афтора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 29.01.2018 в 10:39, hailnora сказал:

Обколются своей марихуаной, а потом я*** друг друга в с****!

ОБСТАВЯЦА СВАИМИ СУФТРУТЕРАМИ А ПАТОМ ПЫШУТЬ ДРУХ ДРУХУ ПАМАХИТЕ НА ФОРУМИ

НУЖНА СТАВИТЬ ЦИСКА АСР И БИГИПИ ФЛОУСПЕК С АПЛИНКАМИ БУДУВАТЬ!

 

:)

ПсевдоДИКТАТОР детектед.

"Войско взбунтовалось! Говорят, царь — ненастоящий!" (С)

  • Haha 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

iptables + synproxy

стоит сервер на Е5 для "прозрачной" защиты веб-серверов. До 10Гбит/с и 2Mpps держал, больше пока не приходило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ХТО ТУТ СУКА ПЫТАИЦЦЯ КОСЫТЬ ПИД МЭНЭ? АНУ БИГОМ УРОКЫ ВЧИТЬ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последние 2 недели периодически идет ddos на граничный бордер.

Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%, зайти на него получается через раз, в забикс перестает писать, а общий трафик падает в 5-10 раз. В один из таких моментов получилось попасть на него и увидеть что по 179 порту с левых ip летят тысячи пакетов. Разрешили 179 порт только на ip BGP, а все остальные запретили. Через несколько часов увидели сотни тысяч дропнутых пакетов по этим правилам. Но уже вечером CPU снова был под 100%, увидеть трафик не удалось, но есть подозрение что начали подставлять нужные ip. У кого есть опыт борьбы на Микротике с данной заразой - пишите в ЛС, с меня вознаграждение. Нашел похожую ситуацию, но на Juniper https://habr.com/post/186566/#comments

ddos_179_bgp.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, delfin сказал:

Последние 2 недели периодически идет ddos на граничный бордер.

Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%, зайти на него получается через раз, в забикс перестает писать, а общий трафик падает в 5-10 раз. В один из таких моментов получилось попасть на него и увидеть что по 179 порту с левых ip летят тысячи пакетов. Разрешили 179 порт только на ip BGP, а все остальные запретили. Через несколько часов увидели сотни тысяч дропнутых пакетов по этим правилам. Но уже вечером CPU снова был под 100%, увидеть трафик не удалось, но есть подозрение что начали подставлять нужные ip. У кого есть опыт борьбы на Микротике с данной заразой - пишите в ЛС, с меня вознаграждение. Нашел похожую ситуацию, но на Juniper https://habr.com/post/186566/#comments

Судя по фразе "Разрешили 179 порт только на ip BGP", у тебя не паханое поле.

На счет "Нашел похожую ситуацию", тут не все однозначно.

Ты описал две атаки

1. Первый раз была UDP атака до 2х Гбит (в полку) на один из BGP интерфейсов

2. Далее пошли атаки на ip cамого бордера (Mikrotik CCR1036-8G-2S+) по 1 часу через 1-2 дня, в следствии которой CPU грузится под 100%

Пример решает распределение нагрузки для обеспечения контроля над бордером - "Основная идея защиты роутера состоит в фильтрации всего трафика предназначенного для RE. Создание фильтра позволит перенести нагрузку, создаваемую DDOS атакой, с CPU RE на CPU PFE роутера, что даст возможность RE обрабатывать только реальные пакеты и не тратить процессорное время на другой трафик."

От первой атаки это решение не спасает в принципе и защиты от такой атаки, для защиты в одиночку - в реале нет.

То есть, защиту на первую атаку рассматривать смысла нет.

По второй атаке, идея простая, ставить скрипт анализатор нагрузки на цпу, при критическом значении, запускать анализатор трафика и загонять в бан ир с максимальным значением. Задачу может обсчитывать тазик_рядом.

 

По первой, нужно смотреть, думаю что в сети уже существуют проекты по блокировке досеров.

Идея такая, распределенная доверительная система по анализу трафика, типа у прова ставится сервер (тазик_рядом) который мониторит ситуацию и ведет обмен с соседями.

Должно обрабатывается две задачи

Если тазик_рядом обнаруживает атаку, он делает то что я написал выше, но если оказывается что досер имеет ип из списка доверительных  провов, параллельно отбрасывает доверительныому тазику_рядом прова о атаке с его сети.

Тазик_рядом досера ведет анализ своего клиента и если приходит к выводу что атака действительно имеет место, "банит на дому", с отбросом письма клиенту о причине бана.

Такую же систему можно и напрягать сделать на внешних линках магистралов.

Но что то подобное я встречал еще лет десять назад на бекбонах в Европе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А никто не сталкивался с проблемой, что Микротик не может отправить вышестоящему магистралу данные "ip отправлен в blackhole", либо неккоректно настроено БГП, что это не видит магистрал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: MazaXaka
      Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.
       
      Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.
      Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow
      наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.
       
      Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?
    • Автор: ikuferu
      Компания "Бест" 3 год ·   
      15 та 16 січня 2017 року на мережу Компанії Бест було здійснено ряд хакерських DDOS атак, через що було порушено працездатність мережі і тимчасово виведено з ладу маршрутизуюче обладнання ядра мережі. Користувачі відчували погіршення якості Інтернет сервісу у період з 22 до 24 години, була відсутня маршрутизація з частиною мережі Інтернет (здебільшого світовий сегмент), сумарний час погіршення сервісу склав близько 4 годин, атаки здійснювалися у час найбільшого навантаження на мережу у неділю та понеділок.
       
       
       
    • Автор: S-D
      Здравствуйте.
       
      На продажу есть 3шт Juniper Netscreen 5200.
      Сетевой экран отлично зарекомендовавший себя для предотвращения всевозможных типов DDoS/DoS атак, фильтрации сетевых аномалий а также хороший IDP.
       
      NS-5200-CHA NS-5000-M 5000-8G 500$   NS-5200-CHA NS-5000-MGT3 NS-5000-8G2-G4-TX (8x SFP-T J45 в комплекте) 1500$   NS-5200-CHA NS-5000-MGT3 (новый в упаковке) NS-5000-8G2-G4 (новый в упаковке) 1500$
    • Автор: Lufa
      PPPoE сервер завис. З консолі дав "tcpdump -n -i em1", безперестанно валить:
      18:23:48.403982 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.403986 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.403989 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.403992 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.403996 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.403999 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404002 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404006 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404009 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404013 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404016 IP 7464.0.0 > 0.0.0: at-#0 7 18:23:48.404019 IP 7464.0.0 > 0.0.0: at-#0 7 і час від часу 1-2 пакети "нормальні".
       
      з опцією "-v":
      18:25:09.494925 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494929 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494933 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494936 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494939 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494943 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494946 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494949 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494952 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494956 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494960 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494963 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) kip 7464.0.0 > 0.0.0: at-#0 7 18:25:09.494966 IP (tos 0x0, ttl 61, id 0, offset 0, flags [none], proto UDP (17), length 51) Інші сервери зараз під DoS-атакою...
       
      FreeBSD 10.1-RELEASE. Підкажіть, що це?
×