[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Joao Carlos Peixoto Ponce jocapponce at gmail.com
Mon Dec 8 09:19:32 -02 2014


2014-12-07 23:22 GMT-02:00 Rubens Kuhl <rubensk at gmail.com>:

> Algum tipo de policy-routing ligado ?
>

Não, nenhum.


>
>
> > Isso não é apenas descarte da rota padrão?
> >
> >
> Sim, é. Mas mesmo assim necessário, mesmo que não seja o que está sendo
> explorado nesse ataque em particular.
>

OK eu não tenho porque apesar de receber BGP full tenho uma rota padrão
instalada enviando para a GLBX na ausência de rota adequada.
Ainda assim é boa prática ter algum outro tipo de descarte? Caso positivo
como seria?


> Arp request voce diz ou arp lookup?
> > De qualquer forma poucos pacotes passam.
> > Os que passam e fariam arp lookup ou request de qualquer forma são
> poucos.
> >
>
> Porque essa afirmação ?
>

Arp request porque eu monitorei.
Poucos pacotes dos que entram, de fato saem.
Não sei se ficam no dataplane ou na RE ou em qualquer outro lugar.
Mas a taxa do que entra e do que sai pela LAN é totalmente desproporcional.
O DoS acontece antes dos pacotes saírem.
A taxa de arp request é baixa.
Como eu colei em alguns e-mails passados apesar do ataque alternar entre 2
prefixos do meu CIDR, os endereços IP de destino do ataque também tem pouca
variação.
A variação é no IP de origem. Provavelmente forjado.
O Arp Request na LAN motivado pelo ataque é baixo, bem baixo.
Já os lookup eu não sei pois não sei monitorar.


> > Além disso o Juniper como qualquer sistema guarda cache de arp o que
> > geraria lookup intenso mas não request.
> > Mas "lookup intenso"  na taxa de 600kpps e num prefixo limitado a 254
> > hosts, qualquer hipótese do Juniper não dar conta, Deus pai né?
> > É pouca coisa demais.
> >
>
> Os lookups nunca completam, então é possível sim saturar CPUs de tratamento
> de exceção com isso. Na série M essa limitação era hard-coded, e talvez
> você precisa habilitá-la explicitamente.
>

Você se refere a habilitar aquele descarte de rota padrão ou algo mais?
Quais contadores vão indicar se a CPU saturar?


> Se fossem 254 hosts que respondem ARP e completam as adjacências, não seria
> problema...


OK agora entendi, você diz que se os replies não chegam os arp requests
continuam.
Mas pelo que consigo pegar com tcpdump não tem tanto arp request durante o
ataque.
Mas não sei se tem alto consumo de CPU ainda assim.


> mas enquanto um IP não tem adjacência completa, um pacote
> destinado a ele não é roteado em hardware, vai para tratamento de exceção
> (que é poucos kpps, não de Mpps).
>
> Rubens
>
>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list