[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

[Rubens Kuhl]

>
>
> Tenho um Juniper MX/5/T/DC que em tese deveria suportar até lindos 8Mpps
> mas me parece que o discurso de venda conta 8Mpps agregado em todas as
> portas. O fato é que desde a última madrugada tomando um ataque de 3.1Mpps
> (que segundo o suporte da Juniper isso dá 6.2Mpps, 3.1 que entra e 3.1 que
> sai ou tenta sair).
>

Isso se aplicaria a banda mas não a pps... tem algo estranho nessa resposta
deles.


>
> Esse ataque é de pacotes udp com algumas particularidades que deu para
> mapear entre elas pkt len variando de 34-46 bytes.
> Isso gera na minha entrada 1.1Gbit/s de lixo, mas não é a banda meu
> problema, mas a taxa de PPS.


Se você tem um MX5, que não tem porta 10G mas apenas porta 1G, 1.1Gbps é
suficiente para lotar a porta de 1G, não ?

Além disso, uma porta Giga não consegue transmitir 1 Gbps de pacotes
pequenos. Por causa do inter-frame gap, uma porta giga transmite algo 600
Mbps de pacotes desse tamanho se fiz as contas direito.


> Meu MX/5 esgota CPU em 2.8-2.9Mpps.


O MX5 não comuta em CPU, e mesmo um pacote que o Trio 3D não roteie iria
para o exception processor.
O que está lotando exatamente nessa quantidade de Mpps ?



> Apenas
> roteando. Se coloco regra de firewall a regra pega o fluxo mas consome
> ainda mais pacote me gerando uma negação de serviço imediata com apenas 1
> regra de firewall.
>

Apesar de regras de firewall consumirem parte dos ciclos úteis do ASIC,
diminuindo sim a capacidade de encaminhamento em pps, o cenário ainda não
está fechando...


> Meu problema fica pior, o ataque vem de endereços IPs que não fazem
> sentido, alguns de classes reservadas que não tem dono, outros de china,
> vietnan, russia mas não importa o IP porque ja notamos que é soprado. Não
> tem para alguns desses IP sequer rota BGP anunciada, ou seja ninguém se
> preocupa em receber resposta é um ataque exclusivo de TX, eu só tomo
> pancada e não respondo nada.
>
>
Se for um bom número dos IPs, usar loose-mode RPF poder ajudar. Eu tenho
impressão que a proporção não vai compensar, mas é uma tentativa.


> A GLBX colocou um Juniper MX/40 pois segundo eles precisaram de uma porta
> de 10Gbit/s para dar conta desse PPS e conseguiram filtrar.


Considerando a banda que você comentou, talvez seja pela banda mesmo...


> Preciso de uma solução para isso alguma sugestao que não seja comprar uma
> caixa de 100 mil para esse filtro pois isso inviabiliza meu negocio.


Upgrades da Juniper não costumam ser baratos, mas você talvez consiga ir
para uma ou duas portas 10GE por menos do que isso.


> Preciso de sugestões seguras e reais, conto com a experiência dos
> participantes dessa lista para isso. Não posso arriscar comprar um
> equipamento XYZ se não tiver certeza que ele vai resolver a questão.
> Gostaria de uma solução baseada em BGP algo mais eficiente que deixar de me
> anunciar (rss rss) ou alguma community milagrosa que evite meus anúncios de
> fato chegarem nesse faroeste sem xerife que é a russia, china, e outros
> buracos do leste europeu.
>

Se você souber em função do que a GBLX já tenha te passado alguns AS de
onde esteja vindo o ataque, você pode tentar se tornar invisível para esse
AS da seguinte forma:

Seu anúncio BGP hoje para trânsito: <SEU AS> ou <SEU AS> <SEU AS>
Seu novo anúncio BGP: <SEU AS> <AS1 de onde vem o ataque> <AS2 de onde vem
o ataque> <SEU AS>

Com isso o controle de aceitação de rotas do EBGP desses AS vai descartar
suas rotas por achar que elas vieram de lá e não deveriam estar sendo
recebidas de outros.


Rubens