
Hi! Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят.. Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. Отфильтровано на кошке. Второй вектор - в принципе, то же самое, только dst - транзитные маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера с подстановкой адреса клиента... Отфильтровали на кошке... Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) Я пока готовлюсь к massive flood на dns-сервера.. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Mon, Oct 15, 2007 at 12:17:37PM +0400, Alexandre Snarskii writes: AS> Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят.. AS> Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. AS> Отфильтровано на кошке. AS> Второй вектор - в принципе, то же самое, только dst - транзитные AS> маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая AS> начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. control plane кошку не спасает? Просто по cpu load прогибается, или симптомы другие? Если дело не в cpu load, то обычные acl, насколько я понимаю, должны защищать от срубания сессий левыми пакетами. AS> Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера AS> с подстановкой адреса клиента... Отфильтровали на кошке... AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера.. Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi, В Пнд, 15/10/2007 в 13:17 +0300, Pavel Gulchouck пишет:
Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару сотен никто и не заметит. Взрослый DDoS может и STM16, и 10G увалить. Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то знает ... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Mon, Oct 15, 2007 at 02:19:35PM +0300, Alexey Balabushevich writes: [...]
AB> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB> сотен никто и не заметит. Я говорил о том, что пара сотен мегабит флуда может уложить некрупного _клиента_. AB> Взрослый DDoS может и STM16, и 10G увалить. Бывает такое? Обычно ведь источники не настолько толстые. А если их много, то тем более, каждый из них вряд ли может много трафика сгенерить. Поэтому обычно пытаются убивать pps-ом, а не bps-ом. Интересно, а какой силы бывают атаки? У нас было максимум пара сотен мегабит, и пара сотен kpps на один хост, но я предполагаю, что это далеко не предел. AB> Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то AB> знает ... -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Mon, Oct 15, 2007 at 02:42:07PM +0300, Pavel Gulchouck writes:
AB>> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB>> сотен никто и не заметит. PG> Я говорил о том, что пара сотен мегабит флуда может уложить PG> некрупного _клиента_. Пишут, что башорг уложили именно трафиком. Порадовал один из комментов: === Я помню меня ддосили... хорошо так... Четвертый день пошел и я тупо сделал редирект на яндекс, пусть он им займется. Занялись, через полчаса все прошло :) === -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi Pavel,
Странно. Звучит, как атака по имени, а не IP. Или даже по URL... -- Michael Размеры нашей гордости определяются масштабами наших несчастий. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Mon, Oct 15, 2007 at 14:42:07, gul wrote about "Re: [uanog] DDoS: четвертый вектор ?": AB> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB> сотен никто и не заметит.
Я говорил о том, что пара сотен мегабит флуда может уложить некрупного _клиента_.
Что-то вспомнилось, как гигантский дятел может задолбать небольшого слона.:) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2007/10/15 Pavel Gulchouck
Бывает.
Обычно ведь источники не настолько толстые. А если их много, то тем более, каждый из них вряд ли может много трафика сгенерить.
Большой и географически-разнесенный botnet - может.
Поэтому обычно пытаются убивать pps-ом, а не bps-ом.
Или qps-ом :-)
Лично я больше 10-30Gbps пока не видел. Похоже, что ограничивающий фактор это свободная полоса на линках между большими операторами + ньюансы BGP best path selection в рамках каждой их сетей.
AB> Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то AB> знает ...
Зависит от того, что защищать. Большинство сетевого оборудования операторского класса, да при соотв. настройках botnet не завалит. Простых пользователей атакуют не так уж массивно и обычно достаточно оперативно поменять пул динамических адресов. От атаки популярного сетевого ресурса обычно тоже просто "отбиться" оперативной заменой публичного IP адреса(ов). Атаки на фиксированные и сложно меняемые IP адреса (DNS сервера) - отдельная история, тут обычно луше не жадничать на инфраструктуре и резервировании.
-- Regards, Volodymyr.

On Mon, Oct 15, 2007 at 02:19:35PM +0300, Alexey Balabushevich wrote:
blackhole bgp тоже не всегда применимы.. blackhole'ить свои dns-сервера, например, далеко не самое лучшее решение.. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Mon, Oct 15, 2007 at 07:25:39PM +0400, Alexandre Snarskii writes:
AS> blackhole bgp тоже не всегда применимы.. AS> blackhole'ить свои dns-сервера, например, далеко не самое лучшее AS> решение.. Собственно, blackhole - это значит, что атака достигла успеха, т.к. сервис закрыли. Это принесение в жертву атакуемого клиента ради того, чтобы не пострадали остальные. Тут же, насколько я понял, речь про отражение атаки, т.е. о защите клиента, а не его отключении. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

В Пнд, 15/10/2007 в 19:25 +0400, Alexandre Snarskii пишет:
...однажды уже приходилось, один из днс-ов. Хорошо хоть только по одному стреляли. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Mon, Oct 15, 2007 at 01:17:20PM +0300, Pavel Gulchouck wrote:
Если имеется в виду mls rate-limit unicast ... - то, когда ставишь cef receive 10000 - она прогибается до 100% по CPU, и продолжает ронять ospf/ldp sessions, когда ставишь 5000 - процу становится попроще (80%), но сессии она от этого ронять не перестает... Если имеется в виду control-plane / service-policy input - честно говоря, в той запарке (пятница, ближе к полуночи, некоторое количество пива уже выпито) попробовать не успел. Поставил на следующий день, снимать фильтры с аплинка чтобы проверить, действительно ли оно работает, не стал - я, к сожалению, не настолько псих чтобы верить в безглючность SRA-ios'ов :)
Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. Возможно, syncache/syncookies действительно эффективны ? syncookies Determines whether or not SYN cookies should be gener- ated for outbound SYN-ACK packets. SYN cookies are a great help during SYN flood attacks, and are enabled by default. (See syncookies(4).)
Возможно... Но зачем тогда dns flood ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Mon, Oct 15, 2007 at 07:18:09PM +0400, Alexandre Snarskii writes:
Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
AS> Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. AS> Возможно, syncache/syncookies действительно эффективны ? Они не везде есть. Да и это не панацея, насколько я понимаю. У циски для защиты от синфлуда есть фича tcp intercept - очень эффективное средство убить роутер, пытаясь защитить сервис. :) Я тоже не понимаю, почему сейчас синфлуды встречаются гораздо реже, чем udp, хотя они явно более эффективны, и подставить fake source там не сложнее (в общем, даже udp-флуды в большинстве идут с честными source ip). Наверное, это вызвано просто особенностями распространённого среди хакеров софта или реализацией генерирующих DDoS троянов. :) Хотя, возможно, что поток исходящих от клиента syn-пакетов или icmp более заметен, чем udp, и такие источники быстрее прикрывают. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Нужен блок Айтишный питания с двумя вводами - т.е. чтобы он был включен в два разных места и при пропадании одного питания сам перебрасывался на второе. Никто не сталкивался - в Киеве кто-то таким торгует ? нашел я вариант - но оно в России... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Вообще-то тема распространённая. Энтри торгует точно.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Monday, October 15, 2007, 7:08:01 PM, you wrote: VS> Вообще-то тема распространённая. Энтри торгует точно. а подробнее ? у кого искать-купить ? ...очень надо !
-- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

entry.kiev.ua Только надо готовиться к цене. От 500-600$. Но оно того стоит.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi, На ту же тему: кто-нть пробовал использовать БП без вентилятора, типа http://store.thirtyday.com/hipo35atxfap.html ? Ну или какие соображения есть на этот счет... Не перегреется ли система в результате? Не загорится ли пыль на торчащем радиаторе? :) Хотя, есть и модели без торчащих частей, еще дороже: http://www.svc.com/ps-cf350b-99.html -- Michael Если у павиана красная задница, это еще не значит, что он революционно настроен. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On 10/15/07, Alexandre Snarskii
Control Plane Policing появился еще в 12.2(18)SXD1 :) Хороший документ, с примерами и рассуждениями на сей счет - Deploying CoPP: http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa... и там в конце документа есть еще дальнейшие ссылки по теме Ну и документация на 12.2(33)SR - http://www.cisco.com/en/US/products/hw/routers/ps368/products_configuration_... и вот тут еще - http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :)
AS> Я пока готовлюсь к massive flood на dns-сервера..
Если цена вопроса соответствующая, то нужно смотреть в сторону Cisco Guard либо чего-то подобного. Потому что не всякую атаку можно формально описать ACL'ями. -- /doka

On Mon, Oct 15, 2007 at 07:18:09PM +0400, Alexandre Snarskii wrote:
Отвечу сам себе: действительно эффективны. Transit statistics: Output bytes : <много> 10294632 bps Output packets: <много> 28281 pps i.e., средний размер пакета - 45 (!) байт. На стороне клиента - FreeBSD 6, с настроенным (не без нашей помощи :) ) "малым джентельменским набором" (polling, fastforwarding, pf/synproxy)... IIS'ы, стоящие за этой фрей, synflood'а больше не увидят.

Alexandre Snarskii wrote:
Кончится все тем, что все провайдеры будут фильтровать траффик от своих клиентов с левыми source IP. Как и было предложено в древние времена инцидента Demos-GU. Тут вот местный провайдер по имени Comcast стал TCP RST слать на оба конца соединения, если оно инициировано извне. Это куда повмешательнее, чем фильтровать по source IP. И ничего, мир не перевернулся. -- Олег =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (11)
-
Alexander V Soroka
-
Alexandre Snarskii
-
Alexandre Snarskii
-
Alexey Balabushevich
-
Michael Petrusha
-
Oleg Panashchenko
-
Pavel Gulchouck
-
Valentin Nechayev
-
Vladimir Litovka
-
Vladimir Sharun
-
Volodymyr Yakovenko