[GTER] Socorro! 3.1Mpps UDP len 34-46 matando Juniper/MX5-T-DC

Joao Carlos Peixoto Ponce jocapponce at gmail.com
Sat Nov 22 23:22:00 -02 2014 

2014-11-22 17:14 GMT-02:00 Luciano <luciano at netvga.com.br>:

> Boa tarde,
>
> Se não me engano é a community 666, tem que confirmar na Level3.
>

É 9999 no caso do blackhole mas não é o que eu quero, se ficar sem
internacional fico sem nada. Se não me engano 666 é o que eles colocam nos
peers na entrada.


>
> Luciano
> Netvga
>
>
>
> Conectado pela Motorola
>
> Carlos Ribeiro <cribeiro at telbrax.com.br> escreveu:
>
> >Já passei por isso algumas vezes, é sempre complicado porque por mais que
> >você faça parece que nada é suficiente.
> >
> >O Rubens apontou algumas coisas importantes, são detalhes, mas que mostram
> >que aparentemente tem mais coisas ocorrendo do que você relatou - talvez
> >parte do ataque esteja sendo direcionado à sua caixa especificamente, por
> >exemplo.
> >
> >Uma boa dica é essa página:
> >
> >
> https://www.safaribooksonline.com/library/view/juniper-mx-series/9781449358143/ch04s02.html
> >
> >Com relação ao bloqueio do ataque, há algumas "communities" meio
> milagrosas
> >mesmo. Você pode limitar seu anúncio internacional, por exemplo. Não
> lembro
> >a community de cabeça, mas a Level3 com certeza tem. Deve diminuir bem o
> >tamanho do ataque. Se você ficar com PTT e trânstio nacional, já deve
> >ajudar a sobreviver.
> >
> >De resto, é cabeça fria e muita paciência.
> >
> >*Carlos Ribeiro*
> >*Sócio*
> >Cel: +55 (31) 9303-3366
> >Tel: +55 (31) 3305-5620
> >Geral: +55 (31) 3305-5600
> >cribeiro at telbrax.com.br
> >www.telbrax.com.br
> >
> >Em 21 de novembro de 2014 19:47, Joao Carlos Peixoto Ponce <
> >jocapponce at gmail.com> escreveu:
> >
> >> Prezados
> >>
> >> Tenho um Juniper MX/5/T/DC que em tese deveria suportar até lindos 8Mpps
> >> mas me parece que o discurso de venda conta 8Mpps agregado em todas as
> >> portas. O fato é que desde a última madrugada tomando um ataque de
> 3.1Mpps
> >> (que segundo o suporte da Juniper isso dá 6.2Mpps, 3.1 que entra e 3.1
> que
> >> sai ou tenta sair).
> >>
> >> Esse ataque é de pacotes udp com algumas particularidades que deu para
> >> mapear entre elas pkt len variando de 34-46 bytes.
> >> Isso gera na minha entrada 1.1Gbit/s de lixo, mas não é a banda meu
> >> problema, mas a taxa de PPS. Meu MX/5 esgota CPU em 2.8-2.9Mpps. Apenas
> >> roteando. Se coloco regra de firewall a regra pega o fluxo mas consome
> >> ainda mais pacote me gerando uma negação de serviço imediata com apenas
> 1
> >> regra de firewall.
> >> Meu problema fica pior, o ataque vem de endereços IPs que não fazem
> >> sentido, alguns de classes reservadas que não tem dono, outros de china,
> >> vietnan, russia mas não importa o IP porque ja notamos que é soprado.
> Não
> >> tem para alguns desses IP sequer rota BGP anunciada, ou seja ninguém se
> >> preocupa em receber resposta é um ataque exclusivo de TX, eu só tomo
> >> pancada e não respondo nada.
> >>
> >> Meu CIDR é um /22, no início o alvo to ataque eram IPs previsíveis em
> uma
> >> mesma /24 mas dai separei esse /24 e deixei de anunciar ele pro mundo. O
> >> ataque virou de foco e foi para outro /24, tentei colocar em communities
> >> para evitar seu anuncio para algumas regiões da Europa, Leste Europeu e
> >> Asia mas o que diz a documentação dos meus upstream não parece condizer
> com
> >> a realidade dos filtros ja que mesmo nessas communities ainda recebo o
> >> ataque.
> >>
> >> O ataque não tem caracteristica desses ataques da moda contra dns, ntp
> ou
> >> snmp.
> >> As portas 123, 53, 5353, etc não são o alvo, o alvo são um range de
> portas
> >> que consegui mapear, na casa de 37XXX a 49XXX no começo achei que era
> RTP
> >> ou outros breques de VoIP e afins mas me parece ser na verdade um range
> de
> >> servidores de cameras IP de segurança.
> >> Meus upstreams são ALGAR, GLBX e estou no PTT-SP pelo PIX da Telium.
> Isso
> >> na teoria pois na prática só me sobra a Telium / PTT.
> >>
> >> A ALGAR com todo respeito mas me dou direito ao desabafo, é uma
> vexatória
> >> vergonha como conduziu o meu atendimento entre a madrugada de quinta e
> >> hoje. Eles mais que não conseguem me ajudar, parece que o router de
> borda
> >> da ALGAR que me atende passou a sofrer também com esse fluxo e dai o que
> >> eles fizeram? Deixaram de anunciar meu CIDR pro mundo para o ataque não
> >> chegar a mim passando pelos routers deles. Sinceramente se tiver alguém
> da
> >> ALGAR por aqui com a mínima responsabilidade sugiro que me contacte para
> >> tentarmos resolver isso.
> >>
> >> A GLBX colocou um Juniper MX/40 pois segundo eles precisaram de uma
> porta
> >> de 10Gbit/s para dar conta desse PPS e conseguiram filtrar. Um filtro
> por
> >> tamanho de pacotes UDP e range de portas resolveu mas a GLBX está me
> >> cobrando a bagatela de R$ 647,81 (um numer magico) ao dia para me
> alugar o
> >> MX/40. Se o ataque durar 1 mes serão 20 mil reais ao mes, sendo que meu
> >> contrato de transito IP com eles é de 3/4 desse valor, ou seja meu custo
> >> mais que dobrou.
> >>
> >> Preciso de uma solução para isso alguma sugestao que não seja comprar
> uma
> >> caixa de 100 mil para esse filtro pois isso inviabiliza meu negocio.
> Estou
> >> tranquilo no PTT ja que a origem desse ataque apesar de não identificada
> >> precisamente sei que vem dos cafundós da europa e asia, segundo a glbx
> >> conseguiu rastrear, não tendo EUA ou LATAM aparentemente envolvidos na
> >> geração desse trafego.
> >> Estou praticamente sem redundancia internacional ja que aumentei meu
> link
> >> pela GLBX como medida de urgencia ja que fiquei sem os covardes da
> ALGAR.
> >> Ou seja só tenho PTT segundo meu negócio, pois mesmo com o MX/40 da CTBC
> >> evitando que esses PPS cheguem em mim sinto que tem muitos momentos de
> >> instabilidade da GLBX para europa, que só apareceram depois desse
> ataque.
> >> Creio que eles tambem estão sofrendo um pouco para rotear antes do MX/40
> >> filtrar.
> >> Preciso de ajuda. Preciso me livrar desse trafego antes dele chegar no
> meu
> >> MX/5 sem ter que pagar pelo aluguel de um MX/40.
> >>
> >> Preciso de sugestões seguras e reais, conto com a experiência dos
> >> participantes dessa lista para isso. Não posso arriscar comprar um
> >> equipamento XYZ se não tiver certeza que ele vai resolver a questão.
> >> Gostaria de uma solução baseada em BGP algo mais eficiente que deixar
> de me
> >> anunciar (rss rss) ou alguma community milagrosa que evite meus
> anúncios de
> >> fato chegarem nesse faroeste sem xerife que é a russia, china, e outros
> >> buracos do leste europeu.
> >>
> >> obrigado
> >> joca
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >--
> >gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list