[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC
Diogo Montagner
diogo.montagner at gmail.com
Mon Dec 8 02:25:10 -02 2014
Complementando a informação do Rubens, no MX há a proteção de DDoS do
control-plane.
Entretanto, se o seu ataque estiver vindo pela porta FXP, essa proteção não
terá efeito, pois a FXP não é uma porta de revenue.
Para conter um ataque vindo pela porta FXP, você terá que criar um policer
e aplicar na interface fxp0.
Em um dos meus e-mails nesta thread explica o que você deve olhar caso o
ataque de arp esteja vindo pela interface fxp0 (interruptions causando high
CPU).
admin at BNG-960-F> show ddos-protection protocols arp
Packet types: 1, Modified: 0, Received traffic: 1, Currently violated: 0
Currently tracked flows: 0, Total detected flows: 0
* = User configured value
Protocol Group: ARP
Packet type: aggregate (Aggregate for all arp traffic)
Aggregate policer configuration:
Bandwidth: 20000 pps
Burst: 20000 packets
Recover time: 300 seconds
Enabled: Yes
Flow detection configuration:
Detection mode: Automatic Detect time: 3 seconds
Log flows: Yes Recover time: 60 seconds
Timeout flows: No Timeout time: 300 seconds
Flow aggregation level configuration:
Aggregation level Detection mode Control mode Flow rate
Subscriber Automatic Drop 10 pps
Logical interface Automatic Drop 10 pps
Physical interface Automatic Drop 20000 pps
System-wide information:
Aggregate bandwidth is never violated
Received: 14929 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 2 pps
Routing Engine information:
Bandwidth: 20000 pps, Burst: 20000 packets, enabled
Aggregate policer is never violated
Received: 14929 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 4 pps
Dropped by individual policers: 0
FPC slot 0 information:
Bandwidth: 100% (20000 pps), Burst: 100% (20000 packets), enabled
Aggregate policer is never violated
Received: 2793 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 2 pps
Dropped by individual policers: 0
Dropped by flow suppression: 0
FPC slot 2 information:
Bandwidth: 100% (20000 pps), Burst: 100% (20000 packets), enabled
Aggregate policer is never violated
Received: 12136 Arrival rate: 0 pps
Dropped: 0 Max arrival rate: 1 pps
Dropped by individual policers: 0
Dropped by flow suppression: 0
admin at BNG-960-F>
./diogo -montagner
JNCIE-SP 0x41A
2014-12-08 12:22 GMT+11:00 Rubens Kuhl <rubensk at gmail.com>:
> >
> > Como eu disse e estou tentando descobrir não sei qual o problema, mas o
> > roteador perde servico na porta com mais de 600kpps com ou sem firewall.
> >
>
> Algum tipo de policy-routing ligado ?
>
>
> > Isso não é apenas descarte da rota padrão?
> >
> >
> Sim, é. Mas mesmo assim necessário, mesmo que não seja o que está sendo
> explorado nesse ataque em particular.
>
>
> > > A rede diretamente conectada é uma parte vulnerável, porque pode
> induzir
> > o
> > > roteador a fazer ARP para esses destinos. A que está 1 salto pra dentro
> > não
> > > é problema.
> > >
> >
> > Arp request voce diz ou arp lookup?
> > De qualquer forma poucos pacotes passam.
> > Os que passam e fariam arp lookup ou request de qualquer forma são
> poucos.
> >
>
> Porque essa afirmação ?
>
> >
> > Além disso o Juniper como qualquer sistema guarda cache de arp o que
> > geraria lookup intenso mas não request.
> > Mas "lookup intenso" na taxa de 600kpps e num prefixo limitado a 254
> > hosts, qualquer hipótese do Juniper não dar conta, Deus pai né?
> > É pouca coisa demais.
> >
>
> Os lookups nunca completam, então é possível sim saturar CPUs de tratamento
> de exceção com isso. Na série M essa limitação era hard-coded, e talvez
> você precisa habilitá-la explicitamente.
>
> Se fossem 254 hosts que respondem ARP e completam as adjacências, não seria
> problema... mas enquanto um IP não tem adjacência completa, um pacote
> destinado a ele não é roteado em hardware, vai para tratamento de exceção
> (que é poucos kpps, não de Mpps).
>
> Rubens
>
>
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list