[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

[Joao Carlos Peixoto Ponce]

Prezados,
Gostaria de agradecer a ajuda de todos que aqui na lista ou em particular
me apoiaram.
No momento continuo sobre ataque mas colocamos uma solução de firewall na
frente da caixa que me permite filtrar todas as operadoras e me da
autonomia para eu mesmo ligar e desligar.
Fiz o que o Rodrigo me recomendou e na nova versão do JunOS meus problemas
de CPU alta sanaram.
No entanto meu problema persiste.
Quando desligo o firewall começo a ter problemas de extrema lentidão nas
portas a partir de 600Kpps
Os contadores de pulup fail incrementam e eu fico com um completo DoS no
meu router
A CPU não sobe mais, nem system nem interrupt depois do downgrade de versão
Ou seja começo a pensar que o Rubens estava certo o tempo (rss) todo e
posso ter um limite de backplane

Já tentei levantar com meu suporte Juniper e as pessoas em particular que
tem me apoiado se eu deveria esperar mais de 600Kpps de RX em uma única
porta de 1Gbit/s na MIC1 do MX/5
Lembrando que nessa porta uso q-in-q
Segundo meu suporte eu deveria contar com até 1.3Mpps com q-in-q mas não
sei se isso seria agregado (650+650) ou em qualquer fluxo (bidirecional,
rx, tx)
Então estendo a pergunta ao grupo:
Alguém tem mais de 600 mil pacotes chegando em uma única (sem trunking)
porta da MIC1 (de 1Gbit/s) de um MX/5?
Apesar de eu estar mais tranquilo com um firewall que segura a bronca na
frente, quero alcançar o máximo que o mx/5 pode me oferecer pra minimizar
esses traumas.
Obrigado a todos novamente.



2014-11-23 22:07 GMT-02:00 Vassili Zaitsev <vassiligter at gmail.com>:

> Boa noite,
>
> vc tem lista de ASs da origem dos ataques? Quais os continentes quer
> filtrar? Um rate do tráfego com origem nestes ASs que são origem ajudam em
> alguma coisa? As vezes o router onde está o seu link na Algar não ajuda em
> muita coisa.. vc pode me passar seu AS para estudar o seu caso?
>
> Trabalho na Algar e gostaria de ajudar em PVT..
>
> Vc tem alguma police na loopback? qual o modelo de police utilizada? já vi
> vários mx até 480 sentar por erro de police ..
>
>
> a sua versão me parece ser um coisa a se analisar.. mas não me parece ser
> causa raiz..
>
>
>
> vc usa sampling ou alguma coisa parecida para gerar flows?
>
> agora to indo dormir mas pela manha estou na ativa e vamos nos falando..
> by the way o cara q responde o email @gmail é um dos melhores caras dentro
> da Algar.. só pra constar..
>
> Tratei ataque esses dias sentando um mx10 (mesmo hardware e tivemos
> sucesso após alguns filtros e rate) vamos ver o q  conseguimos.. a
> community de bgp por continente acho q vai demorar décadas pra rolar..
>  visto q precisa da implementação e adoção mundial..
>
>
>
>
>
> On Friday, November 21, 2014, Joao Carlos Peixoto Ponce <
> jocapponce at gmail.com> wrote:
>
>> Prezados
>>
>> Tenho um Juniper MX/5/T/DC que em tese deveria suportar até lindos 8Mpps
>> mas me parece que o discurso de venda conta 8Mpps agregado em todas as
>> portas. O fato é que desde a última madrugada tomando um ataque de 3.1Mpps
>> (que segundo o suporte da Juniper isso dá 6.2Mpps, 3.1 que entra e 3.1 que
>> sai ou tenta sair).
>>
>> Esse ataque é de pacotes udp com algumas particularidades que deu para
>> mapear entre elas pkt len variando de 34-46 bytes.
>> Isso gera na minha entrada 1.1Gbit/s de lixo, mas não é a banda meu
>> problema, mas a taxa de PPS. Meu MX/5 esgota CPU em 2.8-2.9Mpps. Apenas
>> roteando. Se coloco regra de firewall a regra pega o fluxo mas consome
>> ainda mais pacote me gerando uma negação de serviço imediata com apenas 1
>> regra de firewall.
>> Meu problema fica pior, o ataque vem de endereços IPs que não fazem
>> sentido, alguns de classes reservadas que não tem dono, outros de china,
>> vietnan, russia mas não importa o IP porque ja notamos que é soprado. Não
>> tem para alguns desses IP sequer rota BGP anunciada, ou seja ninguém se
>> preocupa em receber resposta é um ataque exclusivo de TX, eu só tomo
>> pancada e não respondo nada.
>>
>> Meu CIDR é um /22, no início o alvo to ataque eram IPs previsíveis em uma
>> mesma /24 mas dai separei esse /24 e deixei de anunciar ele pro mundo. O
>> ataque virou de foco e foi para outro /24, tentei colocar em communities
>> para evitar seu anuncio para algumas regiões da Europa, Leste Europeu e
>> Asia mas o que diz a documentação dos meus upstream não parece condizer
>> com
>> a realidade dos filtros ja que mesmo nessas communities ainda recebo o
>> ataque.
>>
>> O ataque não tem caracteristica desses ataques da moda contra dns, ntp ou
>> snmp.
>> As portas 123, 53, 5353, etc não são o alvo, o alvo são um range de portas
>> que consegui mapear, na casa de 37XXX a 49XXX no começo achei que era RTP
>> ou outros breques de VoIP e afins mas me parece ser na verdade um range de
>> servidores de cameras IP de segurança.
>> Meus upstreams são ALGAR, GLBX e estou no PTT-SP pelo PIX da Telium. Isso
>> na teoria pois na prática só me sobra a Telium / PTT.
>>
>> A ALGAR com todo respeito mas me dou direito ao desabafo, é uma vexatória
>> vergonha como conduziu o meu atendimento entre a madrugada de quinta e
>> hoje. Eles mais que não conseguem me ajudar, parece que o router de borda
>> da ALGAR que me atende passou a sofrer também com esse fluxo e dai o que
>> eles fizeram? Deixaram de anunciar meu CIDR pro mundo para o ataque não
>> chegar a mim passando pelos routers deles. Sinceramente se tiver alguém da
>> ALGAR por aqui com a mínima responsabilidade sugiro que me contacte para
>> tentarmos resolver isso.
>>
>> A GLBX colocou um Juniper MX/40 pois segundo eles precisaram de uma porta
>> de 10Gbit/s para dar conta desse PPS e conseguiram filtrar. Um filtro por
>> tamanho de pacotes UDP e range de portas resolveu mas a GLBX está me
>> cobrando a bagatela de R$ 647,81 (um numer magico) ao dia para me alugar o
>> MX/40. Se o ataque durar 1 mes serão 20 mil reais ao mes, sendo que meu
>> contrato de transito IP com eles é de 3/4 desse valor, ou seja meu custo
>> mais que dobrou.
>>
>> Preciso de uma solução para isso alguma sugestao que não seja comprar uma
>> caixa de 100 mil para esse filtro pois isso inviabiliza meu negocio. Estou
>> tranquilo no PTT ja que a origem desse ataque apesar de não identificada
>> precisamente sei que vem dos cafundós da europa e asia, segundo a glbx
>> conseguiu rastrear, não tendo EUA ou LATAM aparentemente envolvidos na
>> geração desse trafego.
>> Estou praticamente sem redundancia internacional ja que aumentei meu link
>> pela GLBX como medida de urgencia ja que fiquei sem os covardes da ALGAR.
>> Ou seja só tenho PTT segundo meu negócio, pois mesmo com o MX/40 da CTBC
>> evitando que esses PPS cheguem em mim sinto que tem muitos momentos de
>> instabilidade da GLBX para europa, que só apareceram depois desse ataque.
>> Creio que eles tambem estão sofrendo um pouco para rotear antes do MX/40
>> filtrar.
>> Preciso de ajuda. Preciso me livrar desse trafego antes dele chegar no meu
>> MX/5 sem ter que pagar pelo aluguel de um MX/40.
>>
>> Preciso de sugestões seguras e reais, conto com a experiência dos
>> participantes dessa lista para isso. Não posso arriscar comprar um
>> equipamento XYZ se não tiver certeza que ele vai resolver a questão.
>> Gostaria de uma solução baseada em BGP algo mais eficiente que deixar de
>> me
>> anunciar (rss rss) ou alguma community milagrosa que evite meus anúncios
>> de
>> fato chegarem nesse faroeste sem xerife que é a russia, china, e outros
>> buracos do leste europeu.
>>
>> obrigado
>> joca
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>