[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Wed Dec 3 15:09:36 -02 2014


 

João, a título de curiosidade, que tipo de solução de firewall vc
colocou na frente do seu router? 

Imagino que para barrar isso e não
causar atrasos seja uma solução bem robusta. 

---

Att 

Márcio Elias
Hahn do Nascimento
(48) 8469-1819 / 3524-0700 -
marcio at sulinternet.net
GERÊNCIA DE RECURSOS DE TIC - Sul Internet [2] 


[2] 

Em 01/12/2014 17:05, Joao Carlos Peixoto Ponce escreveu: 

>
Prezados,
> Gostaria de agradecer a ajuda de todos que aqui na lista ou
em particular
> me apoiaram.
> No momento continuo sobre ataque mas
colocamos uma solução de firewall na
> frente da caixa que me permite
filtrar todas as operadoras e me da
> autonomia para eu mesmo ligar e
desligar.
> Fiz o que o Rodrigo me recomendou e na nova versão do JunOS
meus problemas
> de CPU alta sanaram.
> No entanto meu problema
persiste.
> Quando desligo o firewall começo a ter problemas de extrema
lentidão nas
> portas a partir de 600Kpps
> Os contadores de pulup fail
incrementam e eu fico com um completo DoS no
> meu router
> A CPU não
sobe mais, nem system nem interrupt depois do downgrade de versão
> Ou
seja começo a pensar que o Rubens estava certo o tempo (rss) todo e
>
posso ter um limite de backplane
> 
> Já tentei levantar com meu suporte
Juniper e as pessoas em particular que
> tem me apoiado se eu deveria
esperar mais de 600Kpps de RX em uma única
> porta de 1Gbit/s na MIC1 do
MX/5
> Lembrando que nessa porta uso q-in-q
> Segundo meu suporte eu
deveria contar com até 1.3Mpps com q-in-q mas não
> sei se isso seria
agregado (650+650) ou em qualquer fluxo (bidirecional,
> rx, tx)
> Então
estendo a pergunta ao grupo:
> Alguém tem mais de 600 mil pacotes
chegando em uma única (sem trunking)
> porta da MIC1 (de 1Gbit/s) de um
MX/5?
> Apesar de eu estar mais tranquilo com um firewall que segura a
bronca na
> frente, quero alcançar o máximo que o mx/5 pode me oferecer
pra minimizar
> esses traumas.
> Obrigado a todos novamente.
> 
>
2014-11-23 22:07 GMT-02:00 Vassili Zaitsev <vassiligter at gmail.com>:
>

>> Boa noite, vc tem lista de ASs da origem dos ataques? Quais os
continentes quer filtrar? Um rate do tráfego com origem nestes ASs que
são origem ajudam em alguma coisa? As vezes o router onde está o seu
link na Algar não ajuda em muita coisa.. vc pode me passar seu AS para
estudar o seu caso? Trabalho na Algar e gostaria de ajudar em PVT.. Vc
tem alguma police na loopback? qual o modelo de police utilizada? já vi
vários mx até 480 sentar por erro de police .. a sua versão me parece
ser um coisa a se analisar.. mas não me parece ser causa raiz.. vc usa
sampling ou alguma coisa parecida para gerar flows? agora to indo dormir
mas pela manha estou na ativa e vamos nos falando.. by the way o cara q
responde o email @gmail é um dos melhores caras dentro da Algar.. só pra
constar.. Tratei ataque esses dias sentando um mx10 (mesmo hardware e
tivemos sucesso após alguns filtros e rate) vamos ver o q conseguimos..
a community de bgp por continente acho q vai demorar décadas pra rolar..
visto q precisa da implementação e adoção mundial.. On Friday, November
21, 2014, Joao Carlos Peixoto Ponce < jocapponce at gmail.com> wrote: 
>>

>>> Prezados Tenho um Juniper MX/5/T/DC que em tese deveria suportar
até lindos 8Mpps mas me parece que o discurso de venda conta 8Mpps
agregado em todas as portas. O fato é que desde a última madrugada
tomando um ataque de 3.1Mpps (que segundo o suporte da Juniper isso dá
6.2Mpps, 3.1 que entra e 3.1 que sai ou tenta sair). Esse ataque é de
pacotes udp com algumas particularidades que deu para mapear entre elas
pkt len variando de 34-46 bytes. Isso gera na minha entrada 1.1Gbit/s de
lixo, mas não é a banda meu problema, mas a taxa de PPS. Meu MX/5 esgota
CPU em 2.8-2.9Mpps. Apenas roteando. Se coloco regra de firewall a regra
pega o fluxo mas consome ainda mais pacote me gerando uma negação de
serviço imediata com apenas 1 regra de firewall. Meu problema fica pior,
o ataque vem de endereços IPs que não fazem sentido, alguns de classes
reservadas que não tem dono, outros de china, vietnan, russia mas não
importa o IP porque ja notamos que é soprado. Não tem para alguns desses
IP sequer rota BGP anunciada, ou seja ninguém se preocupa em receber
resposta é um ataque exclusivo de TX, eu só tomo pancada e não respondo
nada. Meu CIDR é um /22, no início o alvo to ataque eram IPs previsíveis
em uma mesma /24 mas dai separei esse /24 e deixei de anunciar ele pro
mundo. O ataque virou de foco e foi para outro /24, tentei colocar em
communities para evitar seu anuncio para algumas regiões da Europa,
Leste Europeu e Asia mas o que diz a documentação dos meus upstream não
parece condizer com a realidade dos filtros ja que mesmo nessas
communities ainda recebo o ataque. O ataque não tem caracteristica
desses ataques da moda contra dns, ntp ou snmp. As portas 123, 53, 5353,
etc não são o alvo, o alvo são um range de portas que consegui mapear,
na casa de 37XXX a 49XXX no começo achei que era RTP ou outros breques
de VoIP e afins mas me parece ser na verdade um range de servidores de
cameras IP de segurança. Meus upstreams são ALGAR, GLBX e estou no
PTT-SP pelo PIX da Telium. Isso na teoria pois na prática só me sobra a
Telium / PTT. A ALGAR com todo respeito mas me dou direito ao desabafo,
é uma vexatória vergonha como conduziu o meu atendimento entre a
madrugada de quinta e hoje. Eles mais que não conseguem me ajudar,
parece que o router de borda da ALGAR que me atende passou a sofrer
também com esse fluxo e dai o que eles fizeram? Deixaram de anunciar meu
CIDR pro mundo para o ataque não chegar a mim passando pelos routers
deles. Sinceramente se tiver alguém da ALGAR por aqui com a mínima
responsabilidade sugiro que me contacte para tentarmos resolver isso. A
GLBX colocou um Juniper MX/40 pois segundo eles precisaram de uma porta
de 10Gbit/s para dar conta desse PPS e conseguiram filtrar. Um filtro
por tamanho de pacotes UDP e range de portas resolveu mas a GLBX está me
cobrando a bagatela de R$ 647,81 (um numer magico) ao dia para me alugar
o MX/40. Se o ataque durar 1 mes serão 20 mil reais ao mes, sendo que
meu contrato de transito IP com eles é de 3/4 desse valor, ou seja meu
custo mais que dobrou. Preciso de uma solução para isso alguma sugestao
que não seja comprar uma caixa de 100 mil para esse filtro pois isso
inviabiliza meu negocio. Estou tranquilo no PTT ja que a origem desse
ataque apesar de não identificada precisamente sei que vem dos cafundós
da europa e asia, segundo a glbx conseguiu rastrear, não tendo EUA ou
LATAM aparentemente envolvidos na geração desse trafego. Estou
praticamente sem redundancia internacional ja que aumentei meu link pela
GLBX como medida de urgencia ja que fiquei sem os covardes da ALGAR. Ou
seja só tenho PTT segundo meu negócio, pois mesmo com o MX/40 da CTBC
evitando que esses PPS cheguem em mim sinto que tem muitos momentos de
instabilidade da GLBX para europa, que só apareceram depois desse
ataque. Creio que eles tambem estão sofrendo um pouco para rotear antes
do MX/40 filtrar. Preciso de ajuda. Preciso me livrar desse trafego
antes dele chegar no meu MX/5 sem ter que pagar pelo aluguel de um
MX/40. Preciso de sugestões seguras e reais, conto com a experiência dos
participantes dessa lista para isso. Não posso arriscar comprar um
equipamento XYZ se não tiver certeza que ele vai resolver a questão.
Gostaria de uma solução baseada em BGP algo mais eficiente que deixar de
me anunciar (rss rss) ou alguma community milagrosa que evite meus
anúncios de fato chegarem nesse faroeste sem xerife que é a russia,
china, e outros buracos do leste europeu. obrigado joca -- gter list
https://eng.registro.br/mailman/listinfo/gter [1]
> 
> --
> gter list
https://eng.registro.br/mailman/listinfo/gter [1]
 

Links:
------
[1]
https://eng.registro.br/mailman/listinfo/gter
[2]
http://www.sulinternet.net



More information about the gter mailing list