Jump to content

как бороться с ddos?


Recommended Posts

привет всем

прошу помощи :)

 

в работе NAS-сервер для агрегации тоннелей pptp, используем accel

на сервере пул реалок

уже который раз выхватываю интересную дос атаку

прет куча трафика с двух каналов по гигосу), валит мне к чертям весь инет канал, причем на адрес который из пула этого сервера, НО этот адрес в данный момент никому не выдан для тоннеля

не могу правильно описать задачу но в общем как-то так

есть выхлоп tcpdump если он поможет

 

как бороться с таким?

 

 

Link to post
Share on other sites
  • Replies 123
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

Link to post
Share on other sites

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

Edited by zulu_Radist
Link to post
Share on other sites

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

 

А Вы нам дамп приложите, DDoS это или DoS?

Link to post
Share on other sites

вот кусочек

22:54:57.842851 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842853 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842854 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842856 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842857 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842858 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842859 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842861 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316

176.100.63.44 мой адрес из пула

 

когда рублю в файрволе адрес атакующего 176.111.79.154

то он либо меняет свой адрес, либо меняет атаку на другой мой адрес

жесть какая-то

Edited by zulu_Radist
Link to post
Share on other sites

Если атакующий из одной AS, то рубаните все сети этой AS.

Если будут спуфнутыми адресами долбить, то городите synproxy.

Link to post
Share on other sites

АС рубать бесполезно - от входящего мусора не избавит.

 

deny source ip 176.111.79.0/24 proto udp на железяке перед насами (на бордере).

Edited by alex_o
Link to post
Share on other sites

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Link to post
Share on other sites

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

Link to post
Share on other sites

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

Link to post
Share on other sites

 

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

 

 

ТС четко указал проблему: "валит мне к чертям весь инет канал"

Link to post
Share on other sites

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

Не меняет адрес,

просто эта атака организовывается с торента или диси,

и там атакующих может быть несколько тысяч.

помогает

 ipfw add 10 deny udp from any not 53 to 176.100.63.44

на 5 минут - час.

Блок можно выставлять скриптом, от нагрузки на сервак.

Проблема, если натится несколько IP, не реально вычислить кого валят.

Edited by pavlabor
Link to post
Share on other sites

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

динамические acl по евенту ? :)

Link to post
Share on other sites

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

Link to post
Share on other sites

1. Фильтрация трафика на своем бордере не даст особого результата. Тем более при использовании UDP. Ддосер просто забьет ваш канал и на этом все закончится.

2. Атаки в 10Г бывают, причем часто и ничего тут экстраординарного нету. Для организации атаки протоколом UDP в 10Г многого от ддосера не потребуется.

3. Как уже правильно сказали, резать атаку надо у аплинков с помощью блэкхола, но и тут есть некоторая проблема. Блэкхол у себя нормальный аплинк держать не станет, потому что оно ему тоже не надо платить за трафик ддосовый, следовательно он этот блэкхол должен отдавать своим апстримам и так далее. Ну и вторая сторона блэкхолинга. В блэкхол, если по-взролому, сетями не отправляют. В блэкхол отправляют адреса, то есть /32. Это нужно иметь в веду.

4. Переходим к главному вопросу - детектирование ддоса. Это самый сложный процесс, хотя при такой ситуации, как описана ТС, задача не является невыполнимой. Если вы в состоянии автоматизировать этот процесс, то необходимо договориться с апстримами, чтоб вам предоставили возможность использования блэкхола, а дальше схема простая - детект ддоса, установка анонса адреса нарушителя в определенное комьюнити, которое ваш провайдер принимает от вас в качестве блэкхола.

 

Вобщем, на самом деле, борьба с ддосом, это довольно сложная и наукоемкая задача, но выполнимая, особенно в случае, описанном ТС.

Link to post
Share on other sites

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Link to post
Share on other sites

 

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

К сожалению это сработает только только в правильно спроектированных сетях, причем не мелкого размера. С 10g физикой к аплинкам, и без жесткого шейпера..

Если там физика гиговая - никакие заклинания кроме блекхола по комьюниюнити/звонку у аплинка не помогут.

Link to post
Share on other sites
Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера.

 

 

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =)))

 

Чтобы ддос-трэш не дошел до таргета

 

 

Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий.

Link to post
Share on other sites

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Кстати вполне возможный вариант что вы флудите сами себя, смотрели, трафик кругами не бегает от бордера к насу?

Правильно таки маршруты /32 анонсировать бордеру, а на нем сделать блекхол на свои сети.

Link to post
Share on other sites

 

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

НАСРАТЬ на то, что не выдан! Учите матчасть! Для UDP протокола не обязательно, чтоб адрес был доступен! У вас идет классический UDP-флуд!

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • By Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • By vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • By Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • By freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Create New...