TCP SYN flood

[PatrykW]

Hej

Jak wy sie bronicie przez atakami TCP FYN flood z roznych geo IP.

Jakie metody mitygacyjne stosujecie? narzedzia? best practise? konfiguracja urzadzen ? (6500?, 3750 switchport ACL ?)

any hint ?

Many thanks

[Kyniu]

Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.

[PatrykW]

Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.

Naty man na F5
Przy syn flood na poziomie 600 mbs procek f5 podpbija mi do 100%. Flood leci mi czasami na port 80 zatem cieżko mi to ubić.
Mam na linuxie haproxy na centos. Przekierowałem sobie ruch na Linux box który tymczasowo robi za default Gw. Brak ASA.

Także szukam innego rozwiązania, lepszego ?

[Seba]

Opisz szczegółowo problem, z którym walczysz, bo w pierwszym wpisie rzuciłeś tak ogólne hasło, że nie da się precyzyjnie odpowiedzieć. Drugi wpis już doprecyzowuje temat nieco, ale ciągle ciężko konkretnie doradzić, bo nie znamy tego co masz w sieci.y

Zacznij tutaj - RFC4987

[mabes]

Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.

[PatrykW]

Ok sorry, oto charakterystyka problemu

Posiadam serwer w DC na linuxie ktory hostusje strony www (drupale, wordpresy itp) ogolnie rzecz biorac web hosting.

Od ponad dnia dostaje spory tcp flood na porcie 80/tcp. Na serwerze jak to w hostingu sa setki stron ktore sa hostowane.

Przez ten atak proces apache na serwerze stara sie odpowiedziec na kazy SYN ktory dostaje przez to serwer staje sie wolniejszy, strony dostaja time out.

Pomiedzy serwerem ktory jest targetem tego ataku nie posaidam zadnej ASYy, czyli generalnie wyglada to tak:

F5 - core sieci 6500 --- VLAN --- switch w szafie (4948) ---- serwer

F5 powiedzmy radzilo sobie calkiem niezle z mitygacja tego ataku, lecz procesor byl na poziomie 100%. Zatem ruch przekierowalem na serwer na linuxie gdzie mam proxy.
https://github.com/firehol/firehol/wiki ... h-SYNPROXY

I teraz pytanie, jak to cholerstwo wyciac. Wspomniany atak nie jest z jednego adresu IP, oraz wolumen tego ataku jest na poziomie 600 MB/s. Zatem na NetFlow ciezko mi jest okreslic, w zebrac do kupy adresy IP i jest po prostu wyciac.

Wczoraj pare razy atak na ten serwer tak mocno sie nasilil, ze musial blackhole na backbone zrobic, a potem znow chwilowe przejscie na F5, peak CPU, przekierowanie ruchu na proxy.

Mam nadzieje ze wyczerpujaco wyjasnilem

Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.

pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....

[mzb]

Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.

pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....

Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverline

--M.

[PatrykW]

Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.

pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....

Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverline

--M.

hej,

Niestety nie jestem dobry kolega z F5
Jak moge sobie sprawdzic wsparcie sprzetowe na F5

Mam Active Modules

LTM, 6900(Perpetual)

LTM, Base
IPV6 Gateway
Rate Shaping
Ram Cache
50 MBPS COMPRESSION
Anti-Virus Checks
Base Endpoint Security Checks
Firewall Checks
Network Access
Secure Virtual Keyboard
APM, Web Application
Machine Certificate Checks
Protected Workspace
Remote Desktop
App Tunnel
Application Acceleration Manager, Core

Optional Modules

Acceleration Manager
Acceleration Manager, 6900
ADC, Security Bundle, 6900
AFM, 6900
APM, 500 CCU
APM, Base CCU, 6900
APM, Max CCU, 6900
App Mode (TMSH Only, No Root/Bash)
ASM, Bundle, 6900
ASM, PSM to ASM Upgrade
ASM, Unlimited
Client Authentication
DNS Services
External Interface and Network HSM
Global Traffic Manager Module
IPI Subscription, 1Yr, 5000/5200/6900/7000/7200
IPI Subscription, 3Yr, 5000/5200/6900/7000/7200
Link Controller
Max Compression
MSM
PSM
Routing Bundle
SDN Services
SSL, Forward Proxy
SSL, Max TPS
SWG Subscription, 1Yr, 5000/5200/6900
SWG Subscription, 3Yr, 5000/5200/6900
URL Filtering Subscription, 1Yr, 5000S/5200V/6900
URL Filtering Subscription, 3Yr, 5000S/5200V/6900
WBA
WBA, Bundle, 6900
WOM
WOM, Bundle, 6900

Tak poza tematem F5. Od strony sieci, czy jest jakies best practise, lub jakies specjalne metody mitygacyjne na taka charakterystke i wolumen ataku ? Roznie dobrze moglo byc to 10GB...

[mabes]

Ataki typu 10Gbps i wiecej to zazwyczaj protokol UDP. Mozesz sprobowac zablokowac to u swojego ISP lub skorzystac z jakies uslugi typu cloud DDoS protection. Na wlasna reke raczej ciezko dzialac przy wolumetrycznych atakach, chyba ze masz duza przepustowosc lacza typu 100Gbps

[martino76]

Witam,

Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.

Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.

W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500

Pozdro,

[PatrykW]

Ataki typu 10Gbps i wiecej to zazwyczaj protokol UDP. Mozesz sprobowac zablokowac to u swojego ISP lub skorzystac z jakies uslugi typu cloud DDoS protection. Na wlasna reke raczej ciezko dzialac przy wolumetrycznych atakach, chyba ze masz duza przepustowosc lacza typu 100Gbps

Posiadam 2 x 20G

Witam,

Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.

Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.

W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500

Pozdro,

Biore sie za poczytanie na temat Radware appliance oraz TCP Intercept .

ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?


pzdr

[martino76]

ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr

Zerknij np na link

Pozdro,

[PatrykW]

ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr

Zerknij np na link

Pozdro,

Ok z tego co widze, juz ten ficzer mielismy, zabardzo nie pomagalo

[balam]

Twoj ISP nie oferuje usługi antyDDoS, bo to dosc popularna na dzis juz usluga?

[lbromirs]

TCP Intercept nie jest dobrym pomysłem na 6500, ruch trafia do CPU.

Sugeruje raczej na wejściu ustawić sobie za pomocą MQC dobry QoS na wejściu dla poszczególnych klas ruchu. W szczególności np. ograniczyc ilość TCP SYNów (ACL+MQC) do 20kppsów, etc - daje się to wszystko elegancko zrobić na wejściu, a ponieważ idzie to sprzętowo, nawet nie czujesz jak bardzo próbują zrobić Ci krzywdę.

Do tego warto dorzucić inny ruch o znanych charakterystykach, np. UDP, ICMP, GRE, etc.

Dopiero do wyższych warstw warto zainwestować coś w L4-L7 z dynamicznymi progami, typu Radware, Arbor, czy nawet usługi chmurowe - w stylu CloudFlare.