UDP флуд на 2011UAS-2HnD-IN, как бороться?

Обсуждение оборудования и его настройки
nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

Нужно понять природу "флуда". К примеру, если это мультикаст шторм, то провайдер должен отреагировать на жалобу.
Посмотрите снифером на какие адреса идет udp. конкретно на ваш или на броадкаст/мультикаст. Отсюда и плясать нужно.


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

plin2s писал(а):Смотрите при помощи torch на текущую ситуацию, на какой порт(диапозон портов) идет основной поток флуда.
Навреняка есть какие-то закономерности по портам, на которые ломятся.
Далее делаете правило на drop или reject.


Какие закономерности? Это UDP флуд, все порты закрыты на момент атаки, да и вообще - если порезать весь UDP в самом начале правил фаервола, и свалить его в DROP - ситуация не изменится. Соединения в любом случае влетают в роутер, WAN получает пакеты, и вешает проц в 100%. Если это еще все обрабатывать, то он вообще умрет :-)


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

nediis писал(а):Нужно понять природу "флуда". К примеру, если это мультикаст шторм, то провайдер должен отреагировать на жалобу.
Посмотрите снифером на какие адреса идет udp. конкретно на ваш или на броадкаст/мультикаст. Отсюда и плясать нужно.


Смотреть снифером не нужно, так как атака смоделирована мной и моим сотрудником. Атака идет непосредственно на мой белый IP, в реальных условиях она будет еще суровее, так как у меня будет крутиться конкурентоспособный контент (но хотя бы от школоты отбиться желание все же есть). В данный момент еще у одного товарища поддерживаю сетку с таким же оборудованием и контентом, флудят безбожно, роутер то и дело успевает перезагружаться.

З.Ы. атаку производим самыми премитивными и легкодоступными средствами типа 'loic'

Нищебродский канал в 50 Мбпс кладет железку со 100 Мбпс каналом за счет тонны пакетов.
Последний раз редактировалось Vladislav 11 дек 2013, 14:08, всего редактировалось 1 раз.


nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

Vladislav писал(а):атака смоделирована мной и моим сотрудником

этого в исходных данных не было :-):


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Если даже на дропе вы умудряетесь нагрузить проц, то тут выбор очень простой - брать железо круче. Берёте 1100AHx2 и выставляете один камень на обслуживание WAN порта, а иначе какой чудодейственной пилюли вы хотите?


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

DJGlooM писал(а):Если даже на дропе вы умудряетесь нагрузить проц, то тут выбор очень простой - брать железо круче. Берёте 1100AHx2 и выставляете один камень на обслуживание WAN порта, а иначе какой чудодейственной пилюли вы хотите?


Смею предположить, что и эта железка лопнет... Вы процессор видели? Сейчас больше рассматриваю вариант покупки RouterOS и сбора 4-ех ядерной платформы на Intel с нормальными сетевками... Самый дешевый и действенный вариант как по мне...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вот тут я как-то не понимаю, как на дропе можно нагрузить железку? Вы в какой цепочке дропаете? Если в forward, то конечно будет железка вешаться, пакеты-то в нее пришли. Дропать нужно в input. Если пакеты с флудом просто не попадают на роутер, как они могут его подвесить?
А вообще, разговор получается беспредметный. В connections посмотрите, по какому порту атака идет. Обычно это по 53 порту ломятся, просто правилом закрываем этот порт в цепочке input на входящем интерфейсе.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

podarok66 писал(а):Вот тут я как-то не понимаю, как на дропе можно нагрузить железку? Вы в какой цепочке дропаете? Если в forward, то конечно будет железка вешаться, пакеты-то в нее пришли. Дропать нужно в input. Если пакеты с флудом просто не попадают на роутер, как они могут его подвесить?
А вообще, разговор получается беспредметный. В connections посмотрите, по какому порту атака идет. Обычно это по 53 порту ломятся, просто правилом закрываем этот порт в цепочке input на входящем интерфейсе.


А разве железке не нужен ресурс, что бы этот трафик по средствам фаервола откинуть? :)

З.Ы. ВСЕ ПОРТЫ ЗАКРЫТЫ!
Последний раз редактировалось Vladislav 11 дек 2013, 16:45, всего редактировалось 1 раз.


nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

podarok66 писал(а):как на дропе можно нагрузить железку?

Ну вообще-то и input это и есть пакеты пришли на проц. Так, что флудом можно положить.
Эта железка не годится для щита контента, тем более коммерческого.
По цене/фунционалу/расширяемости более приемлимое это pc роутер. На той же Mikrotik RouterOS или любой другой unix.


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

nediis писал(а):Ну вообще-то и input это и есть пакеты пришли на проц. Так, что флудом можно положить.
Эта железка не годится для щита контента, тем более коммерческого.
По цене/фунционалу/расширяемости более приемлимое это pc роутер. На той же Mikrotik RouterOS или любой другой unix.


Именно так, UDP в любом случае приходит в интерфейс, как не крути, его либо не обрабатывать, либо дропать, либо пропускать, в любом случае железка его принимает, за исключением случая - если перед роутером что то стоит, что умеет этот трафик нормально отфильтровывать и имеет на это достаточный ресурс.


Ответить