[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Joao Carlos Peixoto Ponce jocapponce at gmail.com
Thu Dec 4 20:57:04 -02 2014 

Boa noite.

2014-12-03 18:56 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:

> 2014-12-01 17:05 GMT-02:00 Joao Carlos Peixoto Ponce <jocapponce at gmail.com
> >:
>
> > Prezados,
> > Gostaria de agradecer a ajuda de todos que aqui na lista ou em particular
> > me apoiaram.
> > No momento continuo sobre ataque mas colocamos uma solução de firewall na
> > frente da caixa que me permite filtrar todas as operadoras e me da
> > autonomia para eu mesmo ligar e desligar.
> >
>
> Que regras você tem usado durante ataque que tem resolvido para você ?
>

Dropando tudo UDP from 0-46 bytes destinado a portas 37000 a 49999


> > Fiz o que o Rodrigo me recomendou e na nova versão do JunOS meus
> problemas
> > de CPU alta sanaram.
> > No entanto meu problema persiste.
> > Quando desligo o firewall começo a ter problemas de extrema lentidão nas
> > portas a partir de 600Kpps
> >
>
> 600 kpps de que tamanho ?
>

Abaixo de 47 bytes sempre


>
>
> > Os contadores de pulup fail incrementam e eu fico com um completo DoS no
> > meu router
> >
>
> Você tem um rota de descarte ? Os IPs destino estão em segmentos
> diretamente conectados ao roteador, estão em outros roteadores ou não tem
> rota interna ?
>

Creio que não.
O que é uma rota de descarte pro tráfego de entrada?
Os destinos são anunciados pelo próprio mx/5
O ataque ja variou em 2 redes de prefixe /24 mas em linhas gerais da na
mesma
Uma das redes diretamente conectada e a outra roteada estaticamente com
apenas 1 salto pra dentro
Nenhuma delas com serviços autênticos UDP nesse tamanho e nessas portas


> A CPU não sobe mais, nem system nem interrupt depois do downgrade de
> versão
> > Ou seja começo a pensar que o Rubens estava certo o tempo (rss) todo e
> > posso ter um limite de backplane
> >
> > Já tentei levantar com meu suporte Juniper e as pessoas em particular que
> > tem me apoiado se eu deveria esperar mais de 600Kpps de RX em uma única
> > porta de 1Gbit/s na MIC1 do MX/5
> > Lembrando que nessa porta uso q-in-q
> > Segundo meu suporte eu deveria contar com até 1.3Mpps com q-in-q mas não
> > sei se isso seria agregado (650+650) ou em qualquer fluxo (bidirecional,
> > rx, tx)
> >
>
> Por direção o limite é de 1.4 Mpps com frames de 64 bytes.
>

Isso na teoria ou na prática?
Pelo KB da Juniper na teoria passa a ser 1.3Mpps por causa do q-in-q.
Mas na prática quero saber se alguém tem mais de 600Kpps na mesma porta
Como eu vejo estatísticas do TRIO?
Ja que minha CPU não mostra mais overhead, memória não está esgotando.
Se não for um limite de dataplane que outro limite pode ser e como ver isso?
Não estou mais no desespero por conta do ataque que não para pois a caixa
na frente está segurando bem.
Mas quero saber o que está errado, se tem algo errado.
Porque mesmo sem ataque se eu chegar em 600Kpps na porta num tráfego
autentico terei o mesmo problema, eu acho.
A não ser que seja o packet size gerando o gargalo ja que esses tamanhos
não tem nada de autentico.




>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list