[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Rubens Kuhl rubensk at gmail.com
Sun Dec 7 23:22:12 -02 2014


>
> Como eu disse e estou tentando descobrir não sei qual o problema, mas o
> roteador perde servico na porta com mais de 600kpps com ou sem firewall.
>

Algum tipo de policy-routing ligado ?


> Isso não é apenas descarte da rota padrão?
>
>
Sim, é. Mas mesmo assim necessário, mesmo que não seja o que está sendo
explorado nesse ataque em particular.


> > A rede diretamente conectada é uma parte vulnerável, porque pode induzir
> o
> > roteador a fazer ARP para esses destinos. A que está 1 salto pra dentro
> não
> > é problema.
> >
>
> Arp request voce diz ou arp lookup?
> De qualquer forma poucos pacotes passam.
> Os que passam e fariam arp lookup ou request de qualquer forma são poucos.
>

Porque essa afirmação ?

>
> Além disso o Juniper como qualquer sistema guarda cache de arp o que
> geraria lookup intenso mas não request.
> Mas "lookup intenso"  na taxa de 600kpps e num prefixo limitado a 254
> hosts, qualquer hipótese do Juniper não dar conta, Deus pai né?
> É pouca coisa demais.
>

Os lookups nunca completam, então é possível sim saturar CPUs de tratamento
de exceção com isso. Na série M essa limitação era hard-coded, e talvez
você precisa habilitá-la explicitamente.

Se fossem 254 hosts que respondem ARP e completam as adjacências, não seria
problema... mas enquanto um IP não tem adjacência completa, um pacote
destinado a ele não é roteado em hardware, vai para tratamento de exceção
(que é poucos kpps, não de Mpps).

Rubens


> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list