Hi! Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят.. Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. Отфильтровано на кошке. Второй вектор - в принципе, то же самое, только dst - транзитные маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера с подстановкой адреса клиента... Отфильтровали на кошке... Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) Я пока готовлюсь к massive flood на dns-сервера.. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Mon, Oct 15, 2007 at 12:17:37PM +0400, Alexandre Snarskii writes: AS> Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят.. AS> Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. AS> Отфильтровано на кошке. AS> Второй вектор - в принципе, то же самое, только dst - транзитные AS> маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая AS> начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. control plane кошку не спасает? Просто по cpu load прогибается, или симптомы другие? Если дело не в cpu load, то обычные acl, насколько я понимаю, должны защищать от срубания сессий левыми пакетами. AS> Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера AS> с подстановкой адреса клиента... Отфильтровали на кошке... AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера.. Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, В Пнд, 15/10/2007 в 13:17 +0300, Pavel Gulchouck пишет:
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару сотен никто и не заметит. Взрослый DDoS может и STM16, и 10G увалить. Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то знает ... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 15, 2007 at 02:19:35PM +0300, Alexey Balabushevich writes: [...]
Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
AB> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB> сотен никто и не заметит. Я говорил о том, что пара сотен мегабит флуда может уложить некрупного _клиента_. AB> Взрослый DDoS может и STM16, и 10G увалить. Бывает такое? Обычно ведь источники не настолько толстые. А если их много, то тем более, каждый из них вряд ли может много трафика сгенерить. Поэтому обычно пытаются убивать pps-ом, а не bps-ом. Интересно, а какой силы бывают атаки? У нас было максимум пара сотен мегабит, и пара сотен kpps на один хост, но я предполагаю, что это далеко не предел. AB> Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то AB> знает ... -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Mon, Oct 15, 2007 at 02:42:07PM +0300, Pavel Gulchouck writes:
Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
AB>> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB>> сотен никто и не заметит. PG> Я говорил о том, что пара сотен мегабит флуда может уложить PG> некрупного _клиента_. Пишут, что башорг уложили именно трафиком. Порадовал один из комментов: === Я помню меня ддосили... хорошо так... Четвертый день пошел и я тупо сделал редирект на яндекс, пусть он им займется. Занялись, через полчаса все прошло :) === -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Pavel,
=== Я помню меня ддосили... хорошо так... Четвертый день пошел и я тупо сделал редирект на яндекс, пусть он им займется. Занялись, через полчаса все прошло :) ===
Странно. Звучит, как атака по имени, а не IP. Или даже по URL... -- Michael Размеры нашей гордости определяются масштабами наших несчастий. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Mon, Oct 15, 2007 at 14:42:07, gul wrote about "Re: [uanog] DDoS: четвертый вектор ?": AB> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB> сотен никто и не заметит.
Я говорил о том, что пара сотен мегабит флуда может уложить некрупного _клиента_.
Что-то вспомнилось, как гигантский дятел может задолбать небольшого слона.:) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
2007/10/15 Pavel Gulchouck
AB> Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару AB> сотен никто и не заметит.
Я говорил о том, что пара сотен мегабит флуда может уложить некрупного _клиента_.
AB> Взрослый DDoS может и STM16, и 10G увалить.
Бывает такое?
Бывает.
Обычно ведь источники не настолько толстые. А если их много, то тем более, каждый из них вряд ли может много трафика сгенерить.
Большой и географически-разнесенный botnet - может.
Поэтому обычно пытаются убивать pps-ом, а не bps-ом.
Или qps-ом :-)
Интересно, а какой силы бывают атаки? У нас было максимум пара сотен мегабит, и пара сотен kpps на один хост, но я предполагаю, что это далеко не предел.
Лично я больше 10-30Gbps пока не видел. Похоже, что ограничивающий фактор это свободная полоса на линках между большими операторами + ньюансы BGP best path selection в рамках каждой их сетей.
AB> Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то AB> знает ...
Зависит от того, что защищать. Большинство сетевого оборудования операторского класса, да при соотв. настройках botnet не завалит. Простых пользователей атакуют не так уж массивно и обычно достаточно оперативно поменять пул динамических адресов. От атаки популярного сетевого ресурса обычно тоже просто "отбиться" оперативной заменой публичного IP адреса(ов). Атаки на фиксированные и сложно меняемые IP адреса (DNS сервера) - отдельная история, тут обычно луше не жадничать на инфраструктуре и резервировании.
-- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards, Volodymyr.
On Mon, Oct 15, 2007 at 02:19:35PM +0300, Alexey Balabushevich wrote:
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару сотен никто и не заметит. Взрослый DDoS может и STM16, и 10G увалить. Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то знает ...
blackhole bgp тоже не всегда применимы.. blackhole'ить свои dns-сервера, например, далеко не самое лучшее решение.. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 15, 2007 at 07:25:39PM +0400, Alexandre Snarskii writes:
AS>> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS>> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару сотен никто и не заметит. Взрослый DDoS может и STM16, и 10G увалить. Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то знает ...
AS> blackhole bgp тоже не всегда применимы.. AS> blackhole'ить свои dns-сервера, например, далеко не самое лучшее AS> решение.. Собственно, blackhole - это значит, что атака достигла успеха, т.к. сервис закрыли. Это принесение в жертву атакуемого клиента ради того, чтобы не пострадали остальные. Тут же, насколько я понял, речь про отражение атаки, т.е. о защите клиента, а не его отключении. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
В Пнд, 15/10/2007 в 19:25 +0400, Alexandre Snarskii пишет:
On Mon, Oct 15, 2007 at 02:19:35PM +0300, Alexey Balabushevich wrote:
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто. Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Паш, если речь идет о конторе, в которой snar@ сейчас работает - пару сотен никто и не заметит. Взрослый DDoS может и STM16, и 10G увалить. Кроме как blackhole bgp sessions я рецептов не знаю, может кто-то знает ...
blackhole bgp тоже не всегда применимы.. blackhole'ить свои dns-сервера, например, далеко не самое лучшее решение..
...однажды уже приходилось, один из днс-ов. Хорошо хоть только по одному стреляли. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 15, 2007 at 01:17:20PM +0300, Pavel Gulchouck wrote:
AS> Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят..
AS> Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. AS> Отфильтровано на кошке. AS> Второй вектор - в принципе, то же самое, только dst - транзитные AS> маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая AS> начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp..
control plane кошку не спасает?
Если имеется в виду mls rate-limit unicast ... - то, когда ставишь cef receive 10000 - она прогибается до 100% по CPU, и продолжает ронять ospf/ldp sessions, когда ставишь 5000 - процу становится попроще (80%), но сессии она от этого ронять не перестает... Если имеется в виду control-plane / service-policy input - честно говоря, в той запарке (пятница, ближе к полуночи, некоторое количество пива уже выпито) попробовать не успел. Поставил на следующий день, снимать фильтры с аплинка чтобы проверить, действительно ли оно работает, не стал - я, к сожалению, не настолько псих чтобы верить в безглючность SRA-ios'ов :)
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. Возможно, syncache/syncookies действительно эффективны ? syncookies Determines whether or not SYN cookies should be gener- ated for outbound SYN-ACK packets. SYN cookies are a great help during SYN flood attacks, and are enabled by default. (See syncookies(4).)
Или у тебя не сервис (сайт) атакуют, а хотят клиента без интернета оставить? Если клиент не очень крупный, могут просто его канал флудовым трафиком положить. Мы наблюдали недавно такой DoS, пара сотен мегабит флуда на клиента валила.
Возможно... Но зачем тогда dns flood ? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Oct 15, 2007 at 07:18:09PM +0400, Alexandre Snarskii writes:
Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
AS> Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. AS> Возможно, syncache/syncookies действительно эффективны ? Они не везде есть. Да и это не панацея, насколько я понимаю. У циски для защиты от синфлуда есть фича tcp intercept - очень эффективное средство убить роутер, пытаясь защитить сервис. :) Я тоже не понимаю, почему сейчас синфлуды встречаются гораздо реже, чем udp, хотя они явно более эффективны, и подставить fake source там не сложнее (в общем, даже udp-флуды в большинстве идут с честными source ip). Наверное, это вызвано просто особенностями распространённого среди хакеров софта или реализацией генерирующих DDoS троянов. :) Хотя, возможно, что поток исходящих от клиента syn-пакетов или icmp более заметен, чем udp, и такие источники быстрее прикрывают. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет ! Нужен блок Айтишный питания с двумя вводами - т.е. чтобы он был включен в два разных места и при пропадании одного питания сам перебрасывался на второе. Никто не сталкивался - в Киеве кто-то таким торгует ? нашел я вариант - но оно в России... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Вообще-то тема распространённая. Энтри торгует точно.
Привет !
Нужен блок Айтишный питания с двумя вводами - т.е. чтобы он был включен в два разных места и при пропадании одного питания сам перебрасывался на второе.
Никто не сталкивался - в Киеве кто-то таким торгует ? нашел я вариант - но оно в России...
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет ! Monday, October 15, 2007, 7:08:01 PM, you wrote: VS> Вообще-то тема распространённая. Энтри торгует точно. а подробнее ? у кого искать-купить ? ...очень надо !
Нужен блок Айтишный питания с двумя вводами - т.е. чтобы он был включен в два разных места и при пропадании одного питания сам перебрасывался на второе.
Никто не сталкивался - в Киеве кто-то таким торгует ? нашел я вариант - но оно в России...
-- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
entry.kiev.ua Только надо готовиться к цене. От 500-600$. Но оно того стоит.
Привет !
Monday, October 15, 2007, 7:08:01 PM, you wrote: VS> Вообще-то тема распространённая. Энтри торгует точно.
а подробнее ? у кого искать-купить ? ...очень надо !
Нужен блок Айтишный питания с двумя вводами - т.е. чтобы он был включен в два разных места и при пропадании одного питания сам перебрасывался на второе.
Никто не сталкивался - в Киеве кто-то таким торгует ? нашел я вариант - но оно в России...
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, На ту же тему: кто-нть пробовал использовать БП без вентилятора, типа http://store.thirtyday.com/hipo35atxfap.html ? Ну или какие соображения есть на этот счет... Не перегреется ли система в результате? Не загорится ли пыль на торчащем радиаторе? :) Хотя, есть и модели без торчащих частей, еще дороже: http://www.svc.com/ps-cf350b-99.html -- Michael Если у павиана красная задница, это еще не значит, что он революционно настроен. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On 10/15/07, Alexandre Snarskii
в той запарке (пятница, ближе к полуночи, некоторое количество пива уже выпито) попробовать не успел. Поставил на следующий день, снимать фильтры с аплинка чтобы проверить, действительно ли оно работает, не стал - я, к сожалению, не настолько псих чтобы верить в безглючность SRA-ios'ов :)
Control Plane Policing появился еще в 12.2(18)SXD1 :) Хороший документ, с примерами и рассуждениями на сей счет - Deploying CoPP: http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa... и там в конце документа есть еще дальнейшие ссылки по теме Ну и документация на 12.2(33)SR - http://www.cisco.com/en/US/products/hw/routers/ps368/products_configuration_... и вот тут еще - http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :)
AS> Я пока готовлюсь к massive flood на dns-сервера..
Если цена вопроса соответствующая, то нужно смотреть в сторону Cisco Guard либо чего-то подобного. Потому что не всякую атаку можно формально описать ACL'ями. -- /doka
On Mon, Oct 15, 2007 at 07:18:09PM +0400, Alexandre Snarskii wrote:
AS> Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) AS> Я пока готовлюсь к massive flood на dns-сервера..
Как всё сложно... Обычный tcp syn flood на 10-20 kpps с random source, как правило, убивает сервис достаточно прочно, и защититься от него не так просто.
Честно говоря, я где-то с конца прошлого века про syn-floods не слышал. Возможно, syncache/syncookies действительно эффективны ?
Отвечу сам себе: действительно эффективны. Transit statistics: Output bytes : <много> 10294632 bps Output packets: <много> 28281 pps i.e., средний размер пакета - 45 (!) байт. На стороне клиента - FreeBSD 6, с настроенным (не без нашей помощи :) ) "малым джентельменским набором" (polling, fastforwarding, pf/synproxy)... IIS'ы, стоящие за этой фрей, synflood'а больше не увидят.
Alexandre Snarskii wrote:
Hi!
Так уж получается, что одного из наших клиентов уже с недельку DDoS'ят..
Первый вектор DDoS'а - udp, dst ports 53, 80, 110, dst ip - клиентский. Отфильтровано на кошке. Второй вектор - в принципе, то же самое, только dst - транзитные маршрутизаторы. Juniper'ы справились, ими и прикрыли кошку, которая начала прогибаться с точностью до нестабильности работы bgp/ospf/ldp.. Третий вектор - dns as attack amplifier, ddos пошел на dns-сервера с подстановкой адреса клиента... Отфильтровали на кошке...
Кто недавно попадал под DDoS'ы - подскажите, чего ждать дальше ? :) Я пока готовлюсь к massive flood на dns-сервера..
Кончится все тем, что все провайдеры будут фильтровать траффик от своих клиентов с левыми source IP. Как и было предложено в древние времена инцидента Demos-GU. Тут вот местный провайдер по имени Comcast стал TCP RST слать на оба конца соединения, если оно инициировано извне. Это куда повмешательнее, чем фильтровать по source IP. И ничего, мир не перевернулся. -- Олег =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (11)
-
Alexander V Soroka -
Alexandre Snarskii -
Alexandre Snarskii -
Alexey Balabushevich -
Michael Petrusha -
Oleg Panashchenko -
Pavel Gulchouck -
Valentin Nechayev -
Vladimir Litovka -
Vladimir Sharun -
Volodymyr Yakovenko