[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

[Joao Carlos Peixoto Ponce]

2014-11-22 8:36 GMT-02:00 Carlos Ribeiro <cribeiro at telbrax.com.br>:

> Já passei por isso algumas vezes, é sempre complicado porque por mais que
> você faça parece que nada é suficiente.
>

Como disse o Rodrigo da 1telecom que tem se esforçado em me ajudar em pvt
(a quem agradeço publicamente), é um gato-e-rato.


> O Rubens apontou algumas coisas importantes, são detalhes, mas que mostram
> que aparentemente tem mais coisas ocorrendo do que você relatou - talvez
> parte do ataque esteja sendo direcionado à sua caixa especificamente, por
> exemplo.
>

Tentei responde-lo no que consegui, tem pontos que nem entendi se puderem
reforçar agradeço. Meus destinos são sequenciais dentro dos meus CIDR, as
vezes a própria box na porta da LAN ja que na da WAN fecho /30 com as
operadoras mas uso o IP delas e não o meu, e não é alvo do ataque. So o que
é meu é alvo :-(


>
> Uma boa dica é essa página:
>
>
> https://www.safaribooksonline.com/library/view/juniper-mx-series/9781449358143/ch04s02.html
>
> Com relação ao bloqueio do ataque, há algumas "communities" meio milagrosas
> mesmo. Você pode limitar seu anúncio internacional, por exemplo. Não lembro
> a community de cabeça, mas a Level3 com certeza tem. Deve diminuir bem o
> tamanho do ataque. Se você ficar com PTT e trânstio nacional, já deve
> ajudar a sobreviver.
>

Estou buscando elas. Ou alguma técnica maluca que eu desconheça como a
sugerida pelo Rubens.

Preciso especificamente que meus anúncios não sejam propagados para
qualquer destino passando pelos seguintes transitos: AS8622, AS4134, AS9318,
AS4837, AS8708, AS6849, AS15895, AS15491, AS3216
No Brasil especificamente comecaram a chegar pacotes com a mesma
caracteristica do AS27699 como transito, mas num volume ainda pouco
expressivo.

Esses nao sao todos mas são alguns dos transitos que a GLBX mapeou que é
por onde passa a maior parte dos ataques. Ano todos mas se eu me
blackholear (existe a expressão? rss) para esses transitos creio que me
ajude.
Procuro communities milagrosas desse tipo. Outra coisa esses AS são
transito e não source-as. Os rightmost AS são os mais variados ja que estou
convencido que é tudo spoofado então parei de mapear a origem do ataque pq
não a enxergo de verdade. So os transitos.




>
> De resto, é cabeça fria e muita paciência.
>
> *Carlos Ribeiro*
> *Sócio*
> Cel: +55 (31) 9303-3366
> Tel: +55 (31) 3305-5620
> Geral: +55 (31) 3305-5600
> cribeiro at telbrax.com.br
> www.telbrax.com.br
>
> Em 21 de novembro de 2014 19:47, Joao Carlos Peixoto Ponce <
> jocapponce at gmail.com> escreveu:
>
> > Prezados
> >
> > Tenho um Juniper MX/5/T/DC que em tese deveria suportar até lindos 8Mpps
> > mas me parece que o discurso de venda conta 8Mpps agregado em todas as
> > portas. O fato é que desde a última madrugada tomando um ataque de
> 3.1Mpps
> > (que segundo o suporte da Juniper isso dá 6.2Mpps, 3.1 que entra e 3.1
> que
> > sai ou tenta sair).
> >
> > Esse ataque é de pacotes udp com algumas particularidades que deu para
> > mapear entre elas pkt len variando de 34-46 bytes.
> > Isso gera na minha entrada 1.1Gbit/s de lixo, mas não é a banda meu
> > problema, mas a taxa de PPS. Meu MX/5 esgota CPU em 2.8-2.9Mpps. Apenas
> > roteando. Se coloco regra de firewall a regra pega o fluxo mas consome
> > ainda mais pacote me gerando uma negação de serviço imediata com apenas 1
> > regra de firewall.
> > Meu problema fica pior, o ataque vem de endereços IPs que não fazem
> > sentido, alguns de classes reservadas que não tem dono, outros de china,
> > vietnan, russia mas não importa o IP porque ja notamos que é soprado. Não
> > tem para alguns desses IP sequer rota BGP anunciada, ou seja ninguém se
> > preocupa em receber resposta é um ataque exclusivo de TX, eu só tomo
> > pancada e não respondo nada.
> >
> > Meu CIDR é um /22, no início o alvo to ataque eram IPs previsíveis em uma
> > mesma /24 mas dai separei esse /24 e deixei de anunciar ele pro mundo. O
> > ataque virou de foco e foi para outro /24, tentei colocar em communities
> > para evitar seu anuncio para algumas regiões da Europa, Leste Europeu e
> > Asia mas o que diz a documentação dos meus upstream não parece condizer
> com
> > a realidade dos filtros ja que mesmo nessas communities ainda recebo o
> > ataque.
> >
> > O ataque não tem caracteristica desses ataques da moda contra dns, ntp ou
> > snmp.
> > As portas 123, 53, 5353, etc não são o alvo, o alvo são um range de
> portas
> > que consegui mapear, na casa de 37XXX a 49XXX no começo achei que era RTP
> > ou outros breques de VoIP e afins mas me parece ser na verdade um range
> de
> > servidores de cameras IP de segurança.
> > Meus upstreams são ALGAR, GLBX e estou no PTT-SP pelo PIX da Telium. Isso
> > na teoria pois na prática só me sobra a Telium / PTT.
> >
> > A ALGAR com todo respeito mas me dou direito ao desabafo, é uma vexatória
> > vergonha como conduziu o meu atendimento entre a madrugada de quinta e
> > hoje. Eles mais que não conseguem me ajudar, parece que o router de borda
> > da ALGAR que me atende passou a sofrer também com esse fluxo e dai o que
> > eles fizeram? Deixaram de anunciar meu CIDR pro mundo para o ataque não
> > chegar a mim passando pelos routers deles. Sinceramente se tiver alguém
> da
> > ALGAR por aqui com a mínima responsabilidade sugiro que me contacte para
> > tentarmos resolver isso.
> >
> > A GLBX colocou um Juniper MX/40 pois segundo eles precisaram de uma porta
> > de 10Gbit/s para dar conta desse PPS e conseguiram filtrar. Um filtro por
> > tamanho de pacotes UDP e range de portas resolveu mas a GLBX está me
> > cobrando a bagatela de R$ 647,81 (um numer magico) ao dia para me alugar
> o
> > MX/40. Se o ataque durar 1 mes serão 20 mil reais ao mes, sendo que meu
> > contrato de transito IP com eles é de 3/4 desse valor, ou seja meu custo
> > mais que dobrou.
> >
> > Preciso de uma solução para isso alguma sugestao que não seja comprar uma
> > caixa de 100 mil para esse filtro pois isso inviabiliza meu negocio.
> Estou
> > tranquilo no PTT ja que a origem desse ataque apesar de não identificada
> > precisamente sei que vem dos cafundós da europa e asia, segundo a glbx
> > conseguiu rastrear, não tendo EUA ou LATAM aparentemente envolvidos na
> > geração desse trafego.
> > Estou praticamente sem redundancia internacional ja que aumentei meu link
> > pela GLBX como medida de urgencia ja que fiquei sem os covardes da ALGAR.
> > Ou seja só tenho PTT segundo meu negócio, pois mesmo com o MX/40 da CTBC
> > evitando que esses PPS cheguem em mim sinto que tem muitos momentos de
> > instabilidade da GLBX para europa, que só apareceram depois desse ataque.
> > Creio que eles tambem estão sofrendo um pouco para rotear antes do MX/40
> > filtrar.
> > Preciso de ajuda. Preciso me livrar desse trafego antes dele chegar no
> meu
> > MX/5 sem ter que pagar pelo aluguel de um MX/40.
> >
> > Preciso de sugestões seguras e reais, conto com a experiência dos
> > participantes dessa lista para isso. Não posso arriscar comprar um
> > equipamento XYZ se não tiver certeza que ele vai resolver a questão.
> > Gostaria de uma solução baseada em BGP algo mais eficiente que deixar de
> me
> > anunciar (rss rss) ou alguma community milagrosa que evite meus anúncios
> de
> > fato chegarem nesse faroeste sem xerife que é a russia, china, e outros
> > buracos do leste europeu.
> >
> > obrigado
> > joca
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>