[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Joao Carlos Peixoto Ponce jocapponce at gmail.com
Sun Dec 7 14:05:02 -02 2014


Olá

2014-12-04 21:39 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:

> >
> > > Que regras você tem usado durante ataque que tem resolvido para você ?
> > >
> >
> > Dropando tudo UDP from 0-46 bytes destinado a portas 37000 a 49999
>
> Parecem matches tranquilos de fazer no Trio...
>

Está sendo feito em uma caixa em bridge que foi colocada na frente do
Juniper.
Em tese o Trio filtraria mas não filtra.
Como eu disse e estou tentando descobrir não sei qual o problema, mas o
roteador perde servico na porta com mais de 600kpps com ou sem firewall.

>
> > > > Fiz o que o Rodrigo me recomendou e na nova versão do JunOS meus
> > > problemas
> > > > de CPU alta sanaram.
> > > > No entanto meu problema persiste.
> > > > Quando desligo o firewall começo a ter problemas de extrema lentidão
> nas
> > > > portas a partir de 600Kpps
> > > >
> > >
> > > 600 kpps de que tamanho ?
> > >
> >
> > Abaixo de 47 bytes sempre
> >
>
> Nesse tamanho poderia caber 1.4Mpps... então tem algo estranho mesmo.
>
> >
> > > Você tem um rota de descarte ? Os IPs destino estão em segmentos
> > > diretamente conectados ao roteador, estão em outros roteadores ou não
> tem
> > > rota interna ?
> > >
> >
> > Creio que não.
> > O que é uma rota de descarte pro tráfego de entrada?
>
>
> Não é para o tráfego de entrada, é para o tráfego sem destino específico.
> Nos JUNOS mais antigos seria algo como
>
> static {route 0.0.0.0/0 discard;
> }
>
> Agora que no JunOS tem a discard interface seria assim:
>
> unit 0 {family inet {address 192.0.2.102/32 {destination 192.0.2.101;} } }
>
> set routing-options static route 0.0.0.0/0 next-hop 192.0.2.101
>

Isso não é apenas descarte da rota padrão?


> > Os destinos são anunciados pelo próprio mx/5
> > O ataque ja variou em 2 redes de prefixe /24 mas em linhas gerais da na
> > mesma
> > Uma das redes diretamente conectada e a outra roteada estaticamente com
> > apenas 1 salto pra dentro
>
> A rede diretamente conectada é uma parte vulnerável, porque pode induzir o
> roteador a fazer ARP para esses destinos. A que está 1 salto pra dentro não
> é problema.
>

Arp request voce diz ou arp lookup?
De qualquer forma poucos pacotes passam.
Os que passam e fariam arp lookup ou request de qualquer forma são poucos.

Além disso o Juniper como qualquer sistema guarda cache de arp o que
geraria lookup intenso mas não request.
Mas "lookup intenso"  na taxa de 600kpps e num prefixo limitado a 254
hosts, qualquer hipótese do Juniper não dar conta, Deus pai né?
É pouca coisa demais.



More information about the gter mailing list