привет, пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?". так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его. Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/... И опять-же, на всякий случай, напоминаю про возможность мониторить состояние маршрутизатора и предпринимать определенные действия в связи с изменившимся состоянием, средствами Embedded Event Manager & related: - http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/sr_eem.html - http://www.cisco.com/en/US/docs/ios/12_2sr/12_2sra/feature/guide/sretrac.htm... - http://www.cisco.com/en/US/docs/ios/12_2sr/12_2srb/feature/guide/srbeotem.ht... PS я знаю, что Паскаль лучше, чем С ;-) -- /doka
On Thu, Jul 16, 2009 at 05:56:31PM +0300, Vladimir Litovka wrote:
привет,
пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?".
так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его.
Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/...
Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум: mls rate-limit unicast ip icmp redirect 1000 10 mls rate-limit unicast ip icmp unreachable no-route 1000 10 mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 mls rate-limit all ttl-failure 1000 10 mls rate-limit all mtu-failure 1000 10 (цифры, разумеется, можно варьировать, это то, что стояло на нашем бордере до апгрейда на MX), а то обработка ttl failures (которые случаются, например, в результате routing loops) может уложить вашу кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал один из коллег - клиент ему проанонсил свою /18, а у себя прибить в Null0 забыл... На уровне CoPP это не ловится.
Hi! On Thu, Jul 16, 2009 at 07:15:33PM +0400, Alexandre Snarskii writes: AS> On Thu, Jul 16, 2009 at 05:56:31PM +0300, Vladimir Litovka wrote:
пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?".
так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его.
Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/...
AS> Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум: AS> mls rate-limit unicast ip icmp redirect 1000 10 AS> mls rate-limit unicast ip icmp unreachable no-route 1000 10 AS> mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 AS> mls rate-limit all ttl-failure 1000 10 AS> mls rate-limit all mtu-failure 1000 10 AS> (цифры, разумеется, можно варьировать, это то, что стояло на нашем AS> бордере до апгрейда на MX), а то обработка ttl failures (которые AS> случаются, например, в результате routing loops) может уложить вашу AS> кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал AS> один из коллег - клиент ему проанонсил свою /18, а у себя прибить AS> в Null0 забыл... AS> На уровне CoPP это не ловится. А точно ли не ловится? Вроде как, должно. -- Паша.
On Thu, Jul 16, 2009 at 08:58:03PM +0300, Pavel Gulchouck wrote: [dd]
AS> Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум:
AS> mls rate-limit unicast ip icmp redirect 1000 10 AS> mls rate-limit unicast ip icmp unreachable no-route 1000 10 AS> mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 AS> mls rate-limit all ttl-failure 1000 10 AS> mls rate-limit all mtu-failure 1000 10
AS> (цифры, разумеется, можно варьировать, это то, что стояло на нашем AS> бордере до апгрейда на MX), а то обработка ttl failures (которые AS> случаются, например, в результате routing loops) может уложить вашу AS> кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал AS> один из коллег - клиент ему проанонсил свою /18, а у себя прибить AS> в Null0 забыл...
AS> На уровне CoPP это не ловится.
А точно ли не ловится? Вроде как, должно.
А по какому критерию CoPP должен зарезать генерацию RP ttl-expired и unreachable даже при легком скане динамического пула? -- ZA-RIPE||ZA1-UANIC
On Thu, Jul 16, 2009 at 08:58:03PM +0300, Pavel Gulchouck wrote:
пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?".
так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его.
Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/...
AS> Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум:
AS> mls rate-limit unicast ip icmp redirect 1000 10 AS> mls rate-limit unicast ip icmp unreachable no-route 1000 10 AS> mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 AS> mls rate-limit all ttl-failure 1000 10 AS> mls rate-limit all mtu-failure 1000 10
AS> (цифры, разумеется, можно варьировать, это то, что стояло на нашем AS> бордере до апгрейда на MX), а то обработка ttl failures (которые AS> случаются, например, в результате routing loops) может уложить вашу AS> кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал AS> один из коллег - клиент ему проанонсил свою /18, а у себя прибить AS> в Null0 забыл...
AS> На уровне CoPP это не ловится.
А точно ли не ловится? Вроде как, должно.
The special-case rate limiters do not provide the same level of granularity as CoPP and are thus especially useful for cases where hardware CoPP cannot be used to classify particular types of traffic. Such special packet types include packets with TTL equal to 1, packets that fail the maximum transmission unit (MTU) check, packets with IP Options, and IP packets with errors. Other examples of DoS scenarios not covered by CoPP include CPU protection against line-rate attacks using multicast packets, and switch processor CPU protection. CoPP and special-case rate limiters should be used in conjunction. Взято отсюда: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/prod_white_... -- Alexandre Snarskii, the source code is included.
participants (4)
-
Alexandre Snarskii -
Andrey Zarechansky -
Pavel Gulchouck -
Vladimir Litovka