Привет! Есть какие-нибудь новости по дате выхода 72 Core CCR и сколько интерфейсов 10Gb/s будет работать на полной скорости? Спасибо, Тони.
SKYNET360
Guest
0
10.11.2016 18:23:00
Спасибо, попробую. У меня примерно 60 правил для брандмауэра, стоит ли оставить только правила для DDoser и DDosed?
SKYNET360
Guest
0
08.11.2016 20:40:00
На мой новый 72-ядерный CCR идёт DDoS-атака. Я уже внедрил правило ниже, но роутер всё равно умирает. У меня магистраль 10G, и когда атака достигает 3 гигабит, устройство падает. К тому же, когда звоню своему провайдеру, по факту 10 гигабит не достигается. Есть идеи, что делать? Или просто купить роутер получше?
Какие еще правила фаервола у вас настроены и используете ли вы fasttracking для соединений? Попросите у своего провайдера BGP blackhole community и примените его, чтобы заблокировать DDoS-атаку.
SKYNET360
Guest
0
09.11.2016 20:16:00
Да, у меня есть другие правила файрвола, но они только блокируют порты и список доступа. А как настроить быстротрассировку соединения? Я также спрошу у моего провайдера информацию по BGP.
Murmaider
Guest
0
10.11.2016 07:59:00
Хорошо, производительность, которую вы получаете, полностью соответствует тому, что рекламирует Mikrotik. Зайдите сюда и прокрутите вниз до раздела Ethernet Test Results. Маршрутизация с 25 правилами IP-фильтра, с пакетами по 64 байта (а именно такими обычно бьют в DDoS), даст максимум 3 Гбит/с. Без каких-либо правил файрвола — до 44 Гбит/с.
Это вполне логично. С правилами файрвола каждый пакет приходится проверять на каждое правило в цепочке, пока не сработает условие. Например, если у вас 25 правил, и 24-е правило — «Принять трафик на этот диапазон IP», то каждый пакет сначала проверяется по первым 23 правилам, прежде чем дойдёт до 24-го совпадающего. Это может тормозить трафик и создавать нагрузку на CCR, особенно при DDoS с высокой скоростью пакетов.
Как правило, я стараюсь не маршрутизировать на файрволах и не делать файрвол на роутерах. Лучше настроить ваш CCR как обычный роутер в fastpath без правил файрвола, а на свитче настроить mirror-порт, который будет копировать трафик на Linux-сервер с Wanguard. Wanguard обнаружит DDoS за меньше чем 5 секунд и сможет выполнить нужное действие (например, объявить через BGP /32 IP, на который идет атака, чтобы его заблокировать. Или вызвать Mikrotik API и добавить маршрут с blackhole для атакуемого /32 IP или исходных IP-адресов нападающих).
Также можно разбить сеть на сегменты и поставить файрволы на каждом из них. Тогда DDoS повлияет только на один атакуемый сегмент, а остальные будут работать, и ваш CCR останется в строю.
Murmaider
Guest
0
11.11.2016 00:02:00
Я бы полностью убрал все правила файрвола и отключил отслеживание соединений, так как это автоматически включит Fastpath на роутере (можно проверить в IP => Settings). Пусть Wanguard определяет DDoS-трафик и отправляет для этих адресов blackhole-маршруты на ваш роутер. В наших тестах я заметил, что правила DDoS на Mikrotik только усугубляют ситуацию, когда на роутер идут большие DDoS с высоким числом пакетов в секунду. В нашей лаборатории я смог вывести из строя Mikrotik с такими правилами, используя всего три Linux-машины с 10Gb-интерфейсами, запускавшие hping3 и бившие по цели за Mikrotik. Но в режиме Fastpath такой трафик обрабатывается без проблем.
