Тема: Блокування зовнішніх IP через флуд у мережі (CloudFront 403 Error )

[valexa]

Вітаю, шановне панство!

Стикнувся з проблемою блокування наших зовнішніх IP-адрес популярними сервісами (зокрема OLX, який працює через CloudFront). Отримую помилку «403 Forbidden: Request blocked». Причина очевидна — хтось із локальної мережі флудить, через що системи захисту сайтів бачать аномальну активність і «банять» всю вихідну адресу.

Вхідні дані:

Мережа з декількома зовнішніми IP.

Вихід в інет розподіляється динамічно (P2C / Load Balancing).

Велика кількість внутрішніх («сірих») користувачів.

Що вже пробували:
Створення правил обмеження кількості одночасних з'єднань (conn-limit) з однієї внутрішньої IP-адреси. Результат незадовільний: при жорстких лімітах починаються проблеми з роботою IP-телефонії, онлайн-ігор та інших стійких до розривів сервісів, а при м'яких — блокування зовнішніх IP продовжується.

Питання до спільноти:

Як ефективно вирахувати «шкідника» в реальному часі, якщо стандартні ліміти не допомагають?

Чи існують методи динамічного обмеження саме за частотою запитів (PPS/Rate-limit), які не «дропають» легітимні з'єднання телефонії?

Можливо, є сенс дивитися в бік NetFlow/SNMP для аналізу трафіку, і чим це краще збирати на практиці?

Буду вдячний за будь-які поради щодо налаштування та виявлення джерела флуду. Дякую!

[dj_uise]

Частіш за все банять за 23 ,2323, 25, 2525,та 465,587 порти

Edited May 12 by dj_uise

[ntp]

Зменшити кількість абонентів на зовнішній ІР та запровадити в мережі IPv6

[Чучундра]

2 часа назад, ntp сказал:

... та запровадити в мережі IPv6

ню-ню .... дуже хочу побачити як буде відбуватися процес запровадження коли у переважній більшості абонентських роутерів по дефолту ipv6 вимкнений

12 часов назад, valexa сказал:

Можливо, є сенс дивитися в бік NetFlow/SNMP для аналізу трафіку, і чим це краще збирати на практиці?

SNMP вам тут точно не допоможе. Скільки у вас сидить приватних IP за одним публічним ? Якщо це один флудераст, то його можна вирахувати шляхом поділу блока приватних IP пополам. А якщо багато то пєчалька.

[valexa]

13 часов назад, dj_uise сказав:

Частіш за все банять за 23 ,2323, 25, 2525,та 465,587 порти

 

дякую, додав правила у фільтр  

chain=forward action=drop protocol=tcp dst-port=23,25,2323,2525 
 

1 час назад, Чучундра сказав:

ню-ню .... дуже хочу побачити як буде відбуватися процес запровадження коли у переважній більшості абонентських роутерів по дефолту ipv6 вимкнений

SNMP вам тут точно не допоможе. Скільки у вас сидить приватних IP за одним публічним ? Якщо це один флудераст, то його можна вирахувати шляхом поділу блока приватних IP пополам. А якщо багато то пєчалька.

Користувачів приблизно 100  флудераст думаю один так як на іншій гілці (зовнішній ІР адресі) працює без нарікань. 

 

Можливо ще щось можете порадити... ? 

[valexa]

при жорстких правилах UDP відвалюється телефонія, ігри, ТВ. але думаю саме в UDP трафіці увесь флуд...

Edited May 13 by valexa

[Чучундра]

del.

Edited May 13 by Чучундра

[ntp]

3 часа назад, Чучундра сказал:

коли у переважній більшості абонентських роутерів по дефолту ipv6 вимкнений

Ну так пояснити хомяку що треба вмикати,  а взагалі треба свої коробочки з TR069 продавати, и в оренду здавати.

1 час назад, valexa сказал:

Користувачів приблизно 100 

То забагато на один ІР

[Чучундра]

4 часа назад, ntp сказал:

а взагалі треба свої коробочки з TR069 продавати, и в оренду здавати. 

У вас працює TR-069 ? Продавати свої коробочки це звичайно круто, але тоді готуйтеся вигрібати від абонів в свій бік купу лайна на предмет того що у вас роутер це кака бє, яка не видає гігабіт у дальному кутку його сортіра на другому поверсі, плюс він має мати гарантію 1000 років

Edited May 13 by Чучундра

[ntp]

2 часа назад, Чучундра сказал:

У вас працює TR-069 ? Продавати свої коробочки це звичайно круто, але тоді готуйтеся вигрібати від абонів в свій бік купу лайна на предмет того що у вас роутер це кака бє, яка не видає гігабіт у дальному кутку його сортіра на другому поверсі, плюс він має мати гарантію 1000 років

Не подобається ставте свій роутер, вме як в Європі має бути. 

[Чучундра]

Так все ж таки, ви запустили в себе TR-069 ?