On Mon, Oct 15, 2007 at 01:17:20PM +0300, Pavel Gulchouck wrote:
AS> Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят..
AS> Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. AS> Отфильтровано на кошке. AS> Второй вектор - в принципе, то же самое, только dst - транзитные AS> маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая AS> начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp..
control plane кошку не спасает?
Если имеется в виду mls rate-limit unicast ... - то, когда ставишь cef receive 10000 - она прогибается до 100% по CPU, и продолжает ронять ospf/ldp sessions, когда ставишь 5000 - процу становится попроще (80%), но сессии она от этого ронять не перестает... Если имеется в виду control-plane / service-policy input - честно говоря, в той запарке (пятница, ближе к полуночи, некоторое количество пива уже выпито) попробовать не успел. Поставил на следующий день, снимать фильтры с аплинка чтобы проверить, действительно ли оно работает, не стал - я, к сожалению, не настолько псих чтобы верить в безглючность SRA-ios'ов :)
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. Возможно, syncache/syncookies действительно эффективны ? syncookies Determines whether or not SYN cookies should be gener- ated for outbound SYN-ACK packets. SYN cookies are a great help during SYN flood attacks, and are enabled by default. (See syncookies(4).)
Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Возможно... Но зачем тогда dns flood ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message