Jak wy sie bronicie przez atakami TCP FYN flood z roznych geo IP.
Jakie metody mitygacyjne stosujecie? narzedzia? best practise? konfiguracja urzadzen ? (6500?, 3750 switchport ACL ?)
any hint ?
Many thanks
TCP SYN flood
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
TCP SYN flood
Hej
Jak wy sie bronicie przez atakami TCP FYN flood z roznych geo IP.
Jakie metody mitygacyjne stosujecie? narzedzia? best practise? konfiguracja urzadzen ? (6500?, 3750 switchport ACL ?)
any hint ?
Many thanks
Jak wy sie bronicie przez atakami TCP FYN flood z roznych geo IP.
Jakie metody mitygacyjne stosujecie? narzedzia? best practise? konfiguracja urzadzen ? (6500?, 3750 switchport ACL ?)
any hint ?
Many thanks
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Naty man na F5Kyniu pisze:Np. na ASA przy konfiguracji NAT masz embryonic connection limit. W skrócie - to ASA bierze na siebie zestawienie sesji TCP i dopiero jak przejcie cały proces three way handshake przekazuje połączenie do właściwego celu.
Przy syn flood na poziomie 600 mbs procek f5 podpbija mi do 100%. Flood leci mi czasami na port 80 zatem cieżko mi to ubić.
Mam na linuxie haproxy na centos. Przekierowałem sobie ruch na Linux box który tymczasowo robi za default Gw. Brak ASA.
Także szukam innego rozwiązania, lepszego ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Opisz szczegółowo problem, z którym walczysz, bo w pierwszym wpisie rzuciłeś tak ogólne hasło, że nie da się precyzyjnie odpowiedzieć. Drugi wpis już doprecyzowuje temat nieco, ale ciągle ciężko konkretnie doradzić, bo nie znamy tego co masz w sieci.y
Zacznij tutaj - RFC4987
Zacznij tutaj - RFC4987
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Ok sorry, oto charakterystyka problemu
Posiadam serwer w DC na linuxie ktory hostusje strony www (drupale, wordpresy itp) ogolnie rzecz biorac web hosting.
Od ponad dnia dostaje spory tcp flood na porcie 80/tcp. Na serwerze jak to w hostingu sa setki stron ktore sa hostowane.
Przez ten atak proces apache na serwerze stara sie odpowiedziec na kazy SYN ktory dostaje przez to serwer staje sie wolniejszy, strony dostaja time out.
Pomiedzy serwerem ktory jest targetem tego ataku nie posaidam zadnej ASYy, czyli generalnie wyglada to tak:
F5 - core sieci 6500 --- VLAN --- switch w szafie (4948) ---- serwer
F5 powiedzmy radzilo sobie calkiem niezle z mitygacja tego ataku, lecz procesor byl na poziomie 100%. Zatem ruch przekierowalem na serwer na linuxie gdzie mam proxy.
https://github.com/firehol/firehol/wiki ... h-SYNPROXY
I teraz pytanie, jak to cholerstwo wyciac. Wspomniany atak nie jest z jednego adresu IP, oraz wolumen tego ataku jest na poziomie 600 MB/s. Zatem na NetFlow ciezko mi jest okreslic, w zebrac do kupy adresy IP i jest po prostu wyciac.
Wczoraj pare razy atak na ten serwer tak mocno sie nasilil, ze musial blackhole na backbone zrobic, a potem znow chwilowe przejscie na F5, peak CPU, przekierowanie ruchu na proxy.
Mam nadzieje ze wyczerpujaco wyjasnilem
Posiadam serwer w DC na linuxie ktory hostusje strony www (drupale, wordpresy itp) ogolnie rzecz biorac web hosting.
Od ponad dnia dostaje spory tcp flood na porcie 80/tcp. Na serwerze jak to w hostingu sa setki stron ktore sa hostowane.
Przez ten atak proces apache na serwerze stara sie odpowiedziec na kazy SYN ktory dostaje przez to serwer staje sie wolniejszy, strony dostaja time out.
Pomiedzy serwerem ktory jest targetem tego ataku nie posaidam zadnej ASYy, czyli generalnie wyglada to tak:
F5 - core sieci 6500 --- VLAN --- switch w szafie (4948) ---- serwer
F5 powiedzmy radzilo sobie calkiem niezle z mitygacja tego ataku, lecz procesor byl na poziomie 100%. Zatem ruch przekierowalem na serwer na linuxie gdzie mam proxy.
https://github.com/firehol/firehol/wiki ... h-SYNPROXY
I teraz pytanie, jak to cholerstwo wyciac. Wspomniany atak nie jest z jednego adresu IP, oraz wolumen tego ataku jest na poziomie 600 MB/s. Zatem na NetFlow ciezko mi jest okreslic, w zebrac do kupy adresy IP i jest po prostu wyciac.
Wczoraj pare razy atak na ten serwer tak mocno sie nasilil, ze musial blackhole na backbone zrobic, a potem znow chwilowe przejscie na F5, peak CPU, przekierowanie ruchu na proxy.
Mam nadzieje ze wyczerpujaco wyjasnilem
pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverlineWojtachinho pisze:pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
--M.
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
hej,mzb pisze:Kolega Ci napisal - ogarnij syn cookies na f5, byc moze masz nawet wsparcie hardware'owe. Jesli dalej bedzie 100% to musisz wyrzucic ten ruch wczesniej - mozesz to zrobic programujac swoj core sieci albo routujac sie np. przez f5 silverlineWojtachinho pisze:pps, o ile dobrze pamietam z wczoraj okolice 400-500k, chyba....mabes pisze:Najlepiej użyć SYN CHECK czy SYN COOKIES (zaleznie od vendora). Sprawdz ustawienia na BIG IP. Niestety ma innego sposobu na SYN flood.
Pytanie czy te 600Mbps to tylko pakiety SYN i ile to pps.
--M.
Niestety nie jestem dobry kolega z F5
Jak moge sobie sprawdzic wsparcie sprzetowe na F5
Mam Active Modules
Optional ModulesLTM, 6900(Perpetual)
LTM, Base
IPV6 Gateway
Rate Shaping
Ram Cache
50 MBPS COMPRESSION
Anti-Virus Checks
Base Endpoint Security Checks
Firewall Checks
Network Access
Secure Virtual Keyboard
APM, Web Application
Machine Certificate Checks
Protected Workspace
Remote Desktop
App Tunnel
Application Acceleration Manager, Core
Tak poza tematem F5. Od strony sieci, czy jest jakies best practise, lub jakies specjalne metody mitygacyjne na taka charakterystke i wolumen ataku ? Roznie dobrze moglo byc to 10GB...Acceleration Manager
Acceleration Manager, 6900
ADC, Security Bundle, 6900
AFM, 6900
APM, 500 CCU
APM, Base CCU, 6900
APM, Max CCU, 6900
App Mode (TMSH Only, No Root/Bash)
ASM, Bundle, 6900
ASM, PSM to ASM Upgrade
ASM, Unlimited
Client Authentication
DNS Services
External Interface and Network HSM
Global Traffic Manager Module
IPI Subscription, 1Yr, 5000/5200/6900/7000/7200
IPI Subscription, 3Yr, 5000/5200/6900/7000/7200
Link Controller
Max Compression
MSM
PSM
Routing Bundle
SDN Services
SSL, Forward Proxy
SSL, Max TPS
SWG Subscription, 1Yr, 5000/5200/6900
SWG Subscription, 3Yr, 5000/5200/6900
URL Filtering Subscription, 1Yr, 5000S/5200V/6900
URL Filtering Subscription, 3Yr, 5000S/5200V/6900
WBA
WBA, Bundle, 6900
WOM
WOM, Bundle, 6900
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Witam,
Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.
Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.
W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500
Pozdro,
Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.
Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.
W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500
Pozdro,
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Posiadam 2 x 20Gmabes pisze:Ataki typu 10Gbps i wiecej to zazwyczaj protokol UDP. Mozesz sprobowac zablokowac to u swojego ISP lub skorzystac z jakies uslugi typu cloud DDoS protection. Na wlasna reke raczej ciezko dzialac przy wolumetrycznych atakach, chyba ze masz duza przepustowosc lacza typu 100Gbps
Biore sie za poczytanie na temat Radware appliance oraz TCP Intercept .martino76 pisze:Witam,
Ja używam Radware appliance , który monitoruje cały traffic od ISP. Na tym uradzeniu możesz sobie ustawić, różne thresholdy dla, rożnego typu ataków w tym również TCP Flood. Jeśli dany threshold zostaje przekroczony urządzenie samo podejmuje akcje i ubija traffic. Możesz, tworzyć rule per host lu cale podsieci. W przypadku, kiedy mamy voulmetric atak, mam zestawione tunele GRE ze Scrubbing Center. Jeśli zajdzie taka potrzeba, to oni rozgłaszają nasze publiczne IP poprzez BGP, gdzie cały ruch leci przez nich, i to oni są odpowiedzialni za odfiltrowanie poprawnego ruchu od ataku.
Jestem własnie teraz w trakcie zwiększania u nas rury do ISP z 1G do 10G bo własnie volumeteric atak zabijał nasz link do ISP, i wtedy nawet Radware appliance sobie z tym nie radził, i jedyny sposób jaki pozostawał to własnie przekierowanie ruchu przez Scrubbing Center.
W twoim przypadku, możesz spróbować użyć opcji TCP Intercept na twoim 6500
Pozdro,
ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Ok z tego co widze, juz ten ficzer mielismy, zabardzo nie pomagalomartino76 pisze:Zerknij np na linkWojtachinho pisze: ps. czy masz jakas przykladowa konfiguracje TCP Intercept ?
pzdr
Pozdro,
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
TCP Intercept nie jest dobrym pomysłem na 6500, ruch trafia do CPU.
Sugeruje raczej na wejściu ustawić sobie za pomocą MQC dobry QoS na wejściu dla poszczególnych klas ruchu. W szczególności np. ograniczyc ilość TCP SYNów (ACL+MQC) do 20kppsów, etc - daje się to wszystko elegancko zrobić na wejściu, a ponieważ idzie to sprzętowo, nawet nie czujesz jak bardzo próbują zrobić Ci krzywdę.
Do tego warto dorzucić inny ruch o znanych charakterystykach, np. UDP, ICMP, GRE, etc.
Dopiero do wyższych warstw warto zainwestować coś w L4-L7 z dynamicznymi progami, typu Radware, Arbor, czy nawet usługi chmurowe - w stylu CloudFlare.
Sugeruje raczej na wejściu ustawić sobie za pomocą MQC dobry QoS na wejściu dla poszczególnych klas ruchu. W szczególności np. ograniczyc ilość TCP SYNów (ACL+MQC) do 20kppsów, etc - daje się to wszystko elegancko zrobić na wejściu, a ponieważ idzie to sprzętowo, nawet nie czujesz jak bardzo próbują zrobić Ci krzywdę.
Do tego warto dorzucić inny ruch o znanych charakterystykach, np. UDP, ICMP, GRE, etc.
Dopiero do wyższych warstw warto zainwestować coś w L4-L7 z dynamicznymi progami, typu Radware, Arbor, czy nawet usługi chmurowe - w stylu CloudFlare.