[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

[Joao Carlos Peixoto Ponce]

Em quarta-feira, 3 de dezembro de 2014, Márcio Elias Hahn do Nascimento <

> marcio at sulonline.net <javascript:_e(%7B%7D,'cvml','marcio at sulonline.net
> ');>>
> escreveu:
>
> >
> >
> > João, a título de curiosidade, que tipo de solução de firewall vc
> > colocou na frente do seu router?
> >
> > Imagino que para barrar isso e não
> > causar atrasos seja uma solução bem robusta.
> >
> > ---
> >
> > Att
> >
> > Márcio Elias
> > Hahn do Nascimento
> > (48) 8469-1819 / 3524-0700 -
> > marcio at sulinternet.net
> > GERÊNCIA DE RECURSOS DE TIC - Sul Internet [2]
>
> Boa pergunta, tbm fiquei curio$o.
>
>
Olá e
Desculpem a demora.

Aproveito a pergunta para agradecer publicamente ao Patrick Tracanelli que
se dispos a muito para me ajudar.
Quando meu problema estava sério e eu com uma boa conta diária a pagar por
uma box alugada da GLBX ele interviu e conseguiu emprestado uma placa
Chelsio T5 direto do Fabricante.
Se dispos a vir até minha empresa, sem custos (paguei apenas
transporte/hospedagem) e trouxe uma máquina dele, a famosa e aqui citada
várias vezes ServerU L-800.
Bom o resultado foi que eu consegui segurar e fazer muito mais com essa
dupla L800+T5 em um FreeBSD.
Então respondendo as dúvidas, esse é o meu firewall, um freebsd, que depois
dos 3.1Mpps já filtrou um novo pico de 4Mpps quando o ataque mais se
consolidou.
No meu cenário, eu só precisava de algo segurando o ataque contra meu
Juniper e resolveu.
Meu negócio fim é voz sobre IP e SalesForce. Na verdade não o meu mas o de
meu maior cliente, uma multi-nacional. O entupimento da minha largura de
banda na entrada nunca foi um problema então um firewall "em casa"
 resolveu meu problema.

Sugiro ao Patrick fortemente que exponha ao grupo, quem sabe em um futuro
encontro GTER, essa solucão. Pode contar comigo no estudo de caso.

Aproveito também para ajudar todos os demais que me ajudaram ou tentaram
ajudar. Temos ótimos especialistas em Juniper por aqui e fico feliz. Meu
problema se resolveu quase que em sua totalidade após downgrade do Juniper.
O que me acometeu não consta em nenhum bug formal da Juniper mas ao fazer
downgrade como sugerido/instruito pelo Rodrigo, resolveu o maior problema
de excesso de CPU/interrupcão quando desativava o firewall.
Depois o Diogo, e outros tantos tentaram me ajudar diagnosticar o problema
residual quando a taxa de pps ficava acima de 600Kpps mas a verdade é que
ontem fez exatamente 1 semana que os ataques simplesmente pararam.
Ou seja com ou sem firewall o volume de ataque não chega mais.
Então os últimos comandos e tentativas de ajuda eu não consegui até hoje
executar.
Já que sem ataque ou com firewall ligado o MX/5 segue de vento em poupa.
Hoje já fiz a aquisicão tanto da L800 quanto da Chelsio e fazem parte do
meu arsenal de crise.
Espero nunca mais precisar usar esses equipamentos pra essa finalidade mas
se precisar sei que bastará ligar a energia.
Pois está em bridge na frente do meu router.