TCP SYN flood

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

TCP SYN flood

#1

#1 Post autor: PatrykW »

Hej

Jak wy sie bronicie przez atakami TCP FYN flood z roznych geo IP.

Jakie metody mitygacyjne stosujecie? narzedzia? best practise? konfiguracja urzadzen ? (6500?, 3750 switchport ACL ?)

any hint ?

Many thanks :)
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

Kyniu
wannabe
wannabe
Posty: 3542
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#2

#2 Post autor: Kyniu »

Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

#3

#3 Post autor: PatrykW »

Kyniu pisze:Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.
Naty man na F5
Przy syn flood na poziomie 600 mbs procek f5 podpbija mi do 100%. Flood leci mi czasami na port 80 zatem cieżko mi to ubić.
Mam na linuxie haproxy na centos. Przekierowałem sobie ruch na Linux box który tymczasowo robi za default Gw. Brak ASA.

Także szukam innego rozwiązania, lepszego ?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#4

#4 Post autor: Seba »

Opisz szczegółowo problem, z którym walczysz, bo w pierwszym wpisie rzuciłeś tak ogólne hasło, że nie da się precyzyjnie odpowiedzieć. Drugi wpis już doprecyzowuje temat nieco, ale ciągle ciężko konkretnie doradzić, bo nie znamy tego co masz w sieci.y

Zacznij tutaj - RFC4987
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

mabes
member
member
Posty: 43
Rejestracja: 23 wrz 2012, 09:01

#5

#5 Post autor: mabes »

Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

#6

#6 Post autor: PatrykW »

Ok sorry, oto charakterystyka problemu

Posiadam serwer w DC na linuxie ktory hostusje strony www (drupale, wordpresy itp) ogolnie rzecz biorac web hosting.

Od ponad dnia dostaje spory tcp flood na porcie 80/tcp. Na serwerze jak to w hostingu sa setki stron ktore sa hostowane.

Przez ten atak proces apache na serwerze stara sie odpowiedziec na kazy SYN ktory dostaje przez to serwer staje sie wolniejszy, strony dostaja time out.

Pomiedzy serwerem ktory jest targetem tego ataku nie posaidam zadnej ASYy, czyli generalnie wyglada to tak:

F5 - core sieci 6500 --- VLAN --- switch w szafie (4948) ---- serwer

F5 powiedzmy radzilo sobie calkiem niezle z mitygacja tego ataku, lecz procesor byl na poziomie 100%. Zatem ruch przekierowalem na serwer na linuxie gdzie mam proxy.
https://github.com/firehol/firehol/wiki ... h-SYNPROXY

I teraz pytanie, jak to cholerstwo wyciac. Wspomniany atak nie jest z jednego adresu IP, oraz wolumen tego ataku jest na poziomie 600 MB/s. Zatem na NetFlow ciezko mi jest okreslic, w zebrac do kupy adresy IP i jest po prostu wyciac.

Wczoraj pare razy atak na ten serwer tak mocno sie nasilil, ze musial blackhole na backbone zrobic, a potem znow chwilowe przejscie na F5, peak CPU, przekierowanie ruchu na proxy.

Mam nadzieje ze wyczerpujaco wyjasnilem :(
mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

mzb
wannabe
wannabe
Posty: 157
Rejestracja: 16 cze 2009, 14:14

#7

#7 Post autor: mzb »

Wojtachinho pisze:
mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....
Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverline :)

--M.

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

#8

#8 Post autor: PatrykW »

mzb pisze:
Wojtachinho pisze:
mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....
Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverline :)

--M.
hej,

Niestety nie jestem dobry kolega z F5 :D
Jak moge sobie sprawdzic wsparcie sprzetowe na F5

Mam Active Modules
LTM, 6900(Perpetual)

LTM, Base
IPV6 Gateway
Rate Shaping
Ram Cache
50 MBPS COMPRESSION
Anti-Virus Checks
Base Endpoint Security Checks
Firewall Checks
Network Access
Secure Virtual Keyboard
APM, Web Application
Machine Certificate Checks
Protected Workspace
Remote Desktop
App Tunnel
Application Acceleration Manager, Core
Optional Modules
Acceleration Manager
Acceleration Manager, 6900
ADC, Security Bundle, 6900
AFM, 6900
APM, 500 CCU
APM, Base CCU, 6900
APM, Max CCU, 6900
App Mode (TMSH Only, No Root/Bash)
ASM, Bundle, 6900
ASM, PSM to ASM Upgrade
ASM, Unlimited
Client Authentication
DNS Services
External Interface and Network HSM
Global Traffic Manager Module
IPI Subscription, 1Yr, 5000/5200/6900/7000/7200
IPI Subscription, 3Yr, 5000/5200/6900/7000/7200
Link Controller
Max Compression
MSM
PSM
Routing Bundle
SDN Services
SSL, Forward Proxy
SSL, Max TPS
SWG Subscription, 1Yr, 5000/5200/6900
SWG Subscription, 3Yr, 5000/5200/6900
URL Filtering Subscription, 1Yr, 5000S/5200V/6900
URL Filtering Subscription, 3Yr, 5000S/5200V/6900
WBA
WBA, Bundle, 6900
WOM
WOM, Bundle, 6900
Tak poza tematem F5. Od strony sieci, czy jest jakies best practise, lub jakies specjalne metody mitygacyjne na taka charakterystke i wolumen ataku ? Roznie dobrze moglo byc to 10GB...
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

mabes
member
member
Posty: 43
Rejestracja: 23 wrz 2012, 09:01

#9

#9 Post autor: mabes »

Ataki typu 10Gbps i wiecej to zazwyczaj protokol UDP. Mozesz sprobowac zablokowac to u swojego ISP lub skorzystac z jakies uslugi typu cloud DDoS protection. Na wlasna reke raczej ciezko dzialac przy wolumetrycznych atakach, chyba ze masz duza przepustowosc lacza typu 100Gbps :)

martino76
CCIE
CCIE
Posty: 860
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

#10

#10 Post autor: martino76 »

Witam,

Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.

Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.

W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500

Pozdro,

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

#11

#11 Post autor: PatrykW »

mabes pisze:Ataki typu 10Gbps i wiecej to zazwyczaj protokol UDP. Mozesz sprobowac zablokowac to u swojego ISP lub skorzystac z jakies uslugi typu cloud DDoS protection. Na wlasna reke raczej ciezko dzialac przy wolumetrycznych atakach, chyba ze masz duza przepustowosc lacza typu 100Gbps :)
Posiadam 2 x 20G
martino76 pisze:Witam,

Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.

Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.

W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500

Pozdro,
Biore sie za poczytanie na temat Radware appliance oraz TCP Intercept .

ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?


pzdr
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

martino76
CCIE
CCIE
Posty: 860
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

#12

#12 Post autor: martino76 »

Wojtachinho pisze: ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr
Zerknij np na link

Pozdro,

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1711
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

#13

#13 Post autor: PatrykW »

martino76 pisze:
Wojtachinho pisze: ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr
Zerknij np na link

Pozdro,
Ok z tego co widze, juz ten ficzer mielismy, zabardzo nie pomagalo :(
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
balam
wannabe
wannabe
Posty: 977
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

#14

#14 Post autor: balam »

Twoj ISP nie oferuje usługi antyDDoS, bo to dosc popularna na dzis juz usluga?
Somewhere back in time.

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#15

#15 Post autor: lbromirs »

TCP Intercept nie jest dobrym pomysłem na 6500, ruch trafia do CPU.

Sugeruje raczej na wejściu ustawić sobie za pomocą MQC dobry QoS na wejściu dla poszczególnych klas ruchu. W szczególności np. ograniczyc ilość TCP SYNów (ACL+MQC) do 20kppsów, etc - daje się to wszystko elegancko zrobić na wejściu, a ponieważ idzie to sprzętowo, nawet nie czujesz jak bardzo próbują zrobić Ci krzywdę.

Do tego warto dorzucić inny ruch o znanych charakterystykach, np. UDP, ICMP, GRE, etc.

Dopiero do wyższych warstw warto zainwestować coś w L4-L7 z dynamicznymi progami, typu Radware, Arbor, czy nawet usługi chmurowe - w stylu CloudFlare.

ODPOWIEDZ