[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Rubens Kuhl
rubensk at gmail.com
Thu Dec 4 21:39:57 -02 2014
>
> > Que regras você tem usado durante ataque que tem resolvido para você ?
> >
>
> Dropando tudo UDP from 0-46 bytes destinado a portas 37000 a 49999
Parecem matches tranquilos de fazer no Trio...
>
> > > Fiz o que o Rodrigo me recomendou e na nova versão do JunOS meus
> > problemas
> > > de CPU alta sanaram.
> > > No entanto meu problema persiste.
> > > Quando desligo o firewall começo a ter problemas de extrema lentidão
nas
> > > portas a partir de 600Kpps
> > >
> >
> > 600 kpps de que tamanho ?
> >
>
> Abaixo de 47 bytes sempre
>
Nesse tamanho poderia caber 1.4Mpps... então tem algo estranho mesmo.
>
> > Você tem um rota de descarte ? Os IPs destino estão em segmentos
> > diretamente conectados ao roteador, estão em outros roteadores ou não
tem
> > rota interna ?
> >
>
> Creio que não.
> O que é uma rota de descarte pro tráfego de entrada?
Não é para o tráfego de entrada, é para o tráfego sem destino específico.
Nos JUNOS mais antigos seria algo como
static {route 0.0.0.0/0 discard;
}
Agora que no JunOS tem a discard interface seria assim:
unit 0 {family inet {address 192.0.2.102/32 {destination 192.0.2.101;} } }
set routing-options static route 0.0.0.0/0 next-hop 192.0.2.101
> Os destinos são anunciados pelo próprio mx/5
> O ataque ja variou em 2 redes de prefixe /24 mas em linhas gerais da na
> mesma
> Uma das redes diretamente conectada e a outra roteada estaticamente com
> apenas 1 salto pra dentro
A rede diretamente conectada é uma parte vulnerável, porque pode induzir o
roteador a fazer ARP para esses destinos. A que está 1 salto pra dentro não
é problema.
>
> Pelo KB da Juniper na teoria passa a ser 1.3Mpps por causa do q-in-q.
> Mas na prática quero saber se alguém tem mais de 600Kpps na mesma porta
Tráfego médio de Internet vai dar algo como 600 kpps, porque o tamanho de
pacote não permite caber tanto em 1 Gbps. Só quem tiver roteador comutando
VoIP que vai ver 1+ Mpps numa interface Gigabit fora de laboratório.
Rubens
More information about the gter
mailing list