UDP флуд на 2011UAS-2HnD-IN, как бороться?

Обсуждение оборудования и его настройки
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Vladislav писал(а):Сейчас больше рассматриваю вариант покупки RouterOS и сбора 4-ех ядерной платформы на Intel с нормальными сетевками... Самый дешевый и действенный вариант как по мне...


Самый дешевый вариант это виртуальный микрот на ESX среди прочей инфраструктуры. У мен яварятся несоклько штук, не жрут вообще ничего. Спокойно докидываются процессора, память. В плане совместимости по железу и надёжности - офигенный вариант. ESXi на HCL железе, зеркала, можно даже SSD если бюджет позволяет, тонна памяти и поехали...


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму :-)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Нет, ну конечно, писать что-то на основе умных мыслей это круто. А что, если всё же что-то сделать на деле?
Вот при работающем правиле дропа пакетов на 53 порт. Обратите внимание на загрузку процессора и время:
Изображение
А вот прямо через несколько секунд при отключенном правиле:
Изображение
Флуд идет именно на 53 порт, протокол - udp.
По поводу того, что грузит процессор, а что нет. Пакет, который отброшен на цепочке input не обрабатывается в маршрутизаторе. Он просто отброшен. Нагрузка на железо минимальна. Изучите если не документацию, то хотя бы схему движения http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... acket_Flow


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

Дело то в том, что флудить могут НА ЛЮБОЙ порт, НА ЛЮБОЙ! хоть на 65535
З.Ы. И если бы вы читали, то заметили бы, что атаку я моделирую с товарищем сам, с его удаленного ПК.
Аля проводим тестирование оборудования, которое ну ни как не справляется даже с одним бомже-компьютером.


nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

несомненно дропнутые пакеты создают меньше нагрузку на проц, т.к. их путь по железке короткий, более того это очевидно, но это не отменяет создание ими нагрузки, вопрос только в их количестве


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

Как то так вот все это происходит :) Чисто для примера стрельнули в 80 порт, в любой другой - тоже самое происходит.

 Картинко
Изображение


nediis
Сообщения: 17
Зарегистрирован: 09 дек 2013, 01:41

в случае дропа причем тут номер порта... грузить будет одинаково
номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком)
53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис


Vladislav
Сообщения: 25
Зарегистрирован: 04 дек 2013, 19:07

nediis писал(а):в случае дропа причем тут номер порта... грузить будет одинаково
номер порта имеет значение только при атаке на открытый сервис (самого микротика или за чего-либо за ним, отроученного или отфорвардинного микротиком)
53 udp порт был выбран я так понимаю для примера загрузки проца при отсутствии защиты сервиса, т.к. на микротике есть DNS сервис


Вот и я не пойму, зачем мне так усердно втирают 53 порт :) В то время когда все порты закрыты и через них нет ни каких пробросов в данный момент.


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Vladislav писал(а):Есть сейчас свободная железка с core i7 3770k и 16 Gb DDR3 1600 Mhz на Win Server 2012 R2 Standart. Два раптора по 10к RPM и 2 SSD Vertex4 по 128 Gb. Быть может на нем виртуалку зарядить? Только сетевки нужно нормальные закупить... И желательно WAN с SFP портом, только сетевки нормальные так же обойдутся в хорошую сумму :-)


Вы мсье так паритесь сетевухами будто ISP открываете. Хватит обычных двухпортовых интеловых на pci-e шину. Сколько напихаете столько и будете роутить. Ставить микрот на vmware workstation можно, но чисто эмпирически ESX удобней намного и проще в бэкапе и миграции\развертке. Шустрые дисковые винты уж точно подобной машине ни к чему, SSD - желательно, а так хоть на флешке будет жить, конфигурация создана, подгружена в память и живет в ней, ей пофигу на диск в общем то.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Vladislav, Я вот не понимаю. Вы ищите заветную галочку, нажав на которую атакующий компьютер друга сразу взорвётся? Или нажав на которую у бедненького AR9344 измениться архитектура и вырастет дополнительно 31 ядро?
Хотите избавиться от атаки, возьмите кусачки и перекусите сетевой провод. Гарантированно пропадёт трафик и нагрузка на процессор.... И это не сарказм.

Защита от атак это дело не простое, и если от одиночной атаки можно защититься написав 2-4 правила, то универсальную защиту от распределённой атаки написать невозможно.

Что касается 53 порта, то проц нагружает не трафик а DNS сервер.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить