LINUX.ORG.RU
ФорумAdmin

DDOS: IP Fragmentation, UDP

 , , ,


1

2

От хостера пришло уведомление о дос атаке типа IP Fragmentation, UDP. В гугле вся инфа на англ., не могу найти что это за атака и как ее выявлять и предотвращать. Главный вопрос как ее выявить эту атаку, какие ее признаки?

Вот такой вот график http://prntscr.com/iho1dp

★★★★

Нормальные хостеры сами защищают от таких атак. Если этого не происходит - повод сменить хостера.

DevilStar ()
Ответ на: комментарий от DevilStar

С этим хостером уже около 5 лет, такой инцидент первый раз. А на уровне сервера реально такое предотвратить?

gobot ★★★★ ()

Из названия атаки понятно, что она основана на том, факте, что в случае если Layer 4 PDU, превышает размер MTU пути, то такой PDU фрагментируется на Layer 3.

В данном случае, речь идёт о UDP датаграммах, большого размера и судя по всему с мусором вместо данных внутри.

Логично, что такую атаку нет не какого смысла останавливать в точке назначения. Нужно выполнять анализ фрагментированных пакетов на промежуточном узле. Выполняя их дефрагментацию, по крайней мере хотя бы нескольких пакетов потока, случайным образом.

Что именно хочет от вас хостинг провайдер, мне не ясно. Как только пакеты достигли вашего сервера, задача выполнена, ресурсы сервера исчерпаны, полностью или частично.

ZANSWER ()
Ответ на: комментарий от ZANSWER

А какие ресурсы исчерпаны? Нагрузки на проц нет. Но если пинговать сервер, то потеря пакетов 16%. То есть это на стороне прова нужно решать?

Что именно хочет от вас хостинг провайдер

От ничего не хочет, просто был DDOS ALERT, меня уведомили и все. Но проблема не решена. В сапорт написал, сказали что будут диагностировать сеть, но прошло уже 24 часа и ответа нет. Плюс к тому поддержка на англ., переписка туго идет (

gobot ★★★★ ()
Ответ на: комментарий от anonymous

Да не известно ещё что это, может сетевуха гонит, просто спрашиваю что такое IP Fragmentation ) Бывают затыки кратковременные, сервер живой, но иногда пропажи пакетов, вот с чем это связано не знаю. Причем у всех по разному, допустим у меня пинг прохой, у других нормальный

gobot ★★★★ ()
Последнее исправление: gobot (всего исправлений: 1)

Ответ из сапорта

I see your server was indeed being ddosed yesterday.
If the issue reoccurs you may want to upgrade to business level and sign on to our arbor protection.


Говорят, что сервер был ddos-атакован и предлагают перейти на платную поддержку, чтобы решить эту проблему. Зачем мне переходить на их услуги, если раньше со всеми атаками я сам справлялся. Что они придумали за IP Fragmentation? Что за беспредел?

gobot ★★★★ ()
Ответ на: комментарий от gobot

предлагают перейти на платную поддержку, чтобы решить эту проблему

какой то тупорылый развод.

anonymous ()
Ответ на: комментарий от gobot

Ваш сервер обладает рядом ресурсов, процессорное время, оперативная память, сетевые буфера, размер кольцевого буфера на сетевой карте, пропускная способность вашего канала до сервера.

Цель атакующего исчерпать те или иные ресурсы. Наличие потерь сигнализирует о том, что возможно имеет место быть перегрузка канала или же исчерпание кольцевого буфера вашей сетевой карты.

IP fragmentation, - процесс разделения Layer 4 PDU, на части, с размером Layer 3 MTU - IP header и направляемых последовательно в IP пакетах. Цель данного процесса в том, чтобы передать через сеть с заданным MTU данные пользователя, превышающие заданный MTU.

ZANSWER ()
Ответ на: комментарий от gobot

В случае IPv4 фрагментацию может осуществлять любой узел, на пути от источника к назначению. В случае IPv6 фрагментацию может выполнять только источник.

Для предотвращения получения фрагментированных пакетов, промежуточный узел, между источником и назначением, должен запретить передачу таких пакетов.

Узел назначения не может влиять на то, будет осуществляться фрагментация или нет, для пакетов, которые он получает, только для тех, которые сам отправляет.

ZANSWER ()
Последнее исправление: ZANSWER (всего исправлений: 1)
Ответ на: комментарий от ZANSWER

Т.е. на конечном узле смысла ставить какие то фильтры? Я запретил весь udp трафик через iptables, но это не помогла

Провайдер написал что была атака: IP Fragmentation,UDP,SNMP Amplification

gobot ★★★★ ()
Ответ на: комментарий от gobot

Конечный узел нужно защищать, особенно, если вы используете какие-то службы, на которые может осуществляться атака.

Но, защититься фильтрами в точке назначения от исчерпания доступной полосы пропускания канала, не возможно.

ZANSWER ()
Ответ на: комментарий от ZANSWER

Это я понял, но как мне на практике потребовать от провайдера этой защиты? И должна ли она быть(защита до маршрутизатора)

gobot ★★★★ ()
Ответ на: комментарий от gobot

От ddos как таковой универсальной защиты быть не может, на то она и ddos. Но на примере приведенном ZANSWER, видно что предотвратить ддос на более широком канале 10Gb реальнее, чем на вашем узком 100Mb.
Обычно ситуация разворачивается от обратного. У меня есть ресурс, меня начли ddos-ить, я это обнаружил, я обращаюсь к прову (так как у него канал в разы шире) с просьбой предотвратить эту ddos атаку.
Бывают случаи когда можно лимитами с drop подкрутить на своем канале, но прову с бОльшим каналом это гораздо проще сделать.

anc ★★★★★ ()
Ответ на: комментарий от ZANSWER

Это, по-видимому, карта сети провайдера, который был открыт школьником в своей комнате.

anonymous ()
Ответ на: комментарий от gobot

Да проще простого - собираем данные, делаем feature engineering, строим модельку, например методом опорных векторов и классифицируем трафик. По сути задача сводится к задаче бинарной классификации.

Но, раз такие вопросы у тебя возникают - подключись к какому-нибудь CloudFlare.

anonymous ()
Ответ на: комментарий от gobot

Уважаемый, @gobot, исходя из задаваемых Вами вопросов, я оцениваю уровень вашей компетенции, как чрезвычайно низкий и рекомендую не тратить своё и чужое время. Для эффективного решения задачи отражения атаки, Вам потребуется прослушать несколько базовых курсов университетской программы или иметь практический опыт борьбы с таковыми под началом руководителя, который эти курсы прослушал.

На текущий момент времени в Сети огромное количество материалов об организации различных типов атак, а количество вычислительных машин на порядки превышает количество людей, которые могут правильным образом их обслуживать. Таким образом организация атаки большого объема (несколько десятков гигабит) стала доступна широкой публике, стоимость организации таких атак чрезвычайно мала, а стоимость их отражения, к сожалению, по-прежнему высока (требуются, как специалисты с соответствующим уровнем подготовки, так и сопутствующая инфраструктура).

anonymous ()

типа IP Fragmentation, UDP

Это что, ещё актуально? Мне казалось что тему закрыли лет так 15 назад.

no-such-file ★★★★★ ()
Ответ на: комментарий от gobot

Как заметил anc, вы можете либо попросить их, если они согласны сделать это условно бесплатно или же заключить дополнительное соглашение, в случае, если эта услуга платная.

ZANSWER ()
Ответ на: комментарий от anonymous

Но, раз такие вопросы у тебя возникают - подключись к какому-нибудь CloudFlare.

Это не всегда спасет. Реальный пример нескольких лет давности, массовый ddos на 53-й порт с подменой ip, сервер dns НЕ поднят, это просто огромная волна на конкретный порт, закрыт он, открыт, пофиг. В результате 100ку клало в ноль. Пров несколько дней разбирался с этим. Всю его сеть ddos-ли.

anc ★★★★★ ()
Ответ на: комментарий от anc

CloudFlare
Это не всегда спасет.
100ку клало в ноль.

Ты сейчас сравнил один 100 Gbps канал с anycast-сервисом, у которого 122 PoPs по всему миру, в каждом из которых только лишь подключение к peering fabric начинается с 10–20 Gbps (а в каких-то IX вообще 200 Gbps), а есть еще подключение к магистралам и private peering.

Если почитать их блог, они и атаки в 400 Gbps за проблему не считают.

edigaryev ★★★★★ ()
Ответ на: комментарий от anc

Возможно вы не поняли. В данном контексте это не важно.

edigaryev ★★★★★ ()
Ответ на: комментарий от ZANSWER

Я не уверен до конца, что это атака. Потому что нагрузки на ЦП нет, всплеск трафика на интерфейсе тоже не наблюдается в моменты пропажи пакетов(nload показывает даже спад трафика в этот момент). Трасировка и mtr тест показывает что затык идет на 2 последних маршрутизаторов провайдера. Такое ощущение, что пакеты просто не доходят до моего сервера и пропадают по пути. Продайдер тестировал сеть, когда загружал сервер с liveCD, в этот момент потери пакетов не было. Также я добавил на сервер другой ИП(из другой сети), по этому маршруту пакеты нормально проходят, даже в момент когда по основному маршруту идет затык. Хотя провайдер постоянно шел уведомления о «IP Fragmentation,UDP attack».

gobot ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.