+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CCR1036-8G-2S+ вырублен атакой DDoS с нагрузкой 200 тысяч пакетов в секунду.

CCR1036-8G-2S+ вырублен атакой DDoS с нагрузкой 200 тысяч пакетов в секунду., RouterOS

marsark

Guest

04.10.2014 21:50:00

Привет! Наш CCR1036-8G-2S+EM (ROS 6.11, с включённым Connection tracking) вчера рухнул под атакой DDoS с нагрузкой 200kpps, выступая в роли фаервола. Немного деталей про входящий трафик: целью был IP-адрес нашего SMTP-реле, трафик шел с разных IP и случайных портов. Пакеты UDP, размер от 128 до 255 байт. Порты назначения тоже случайные. CCR был загружен до 100% и перестал отвечать. Поэтому мы отключили апстрим, настроили deadhole-маршрутизацию на границе нашего AS, перезагрузили CCR и снова подняли подключение к апстриму.

iluxa85

Guest

03.04.2015 17:23:00

Коллеги, доброго времени суток. Есть BGP маршрутизатор Mikrotik Cloud Core Router 1036-8G-2S + EM. Для теста используется 10-гигабитный порт SFP + BGP работает нормально. Решили проверить нагрузку на роутер. С другого дата-центра идет флуд порядка 500 мегабит и примерно 300kpps пакетов — DDoS тест на сервер, который находится за mikrotik. В итоге это загружает все 36 ядер процессора в регрументе, и через 3-5 минут роутер падает, BGP срывается. Управляющий интерфейс роутера настроен на другом порту, но и сам интерфейс управления перестает отвечать. Вот картинка с 10G портом, после чего роутер умирает.

iluxa85

Guest

03.04.2015 17:24:00

Коллеги, доброго времени суток. Есть BGP маршрутизатор – Mikrotik Cloud Core Router 1036-8G-2S + EM. Для теста использовался 10-гигабитный порт SFP, BGP работает отлично. Решил проверить сам маршрутизатор. Из другого дата-центра запускается поток порядка 500 мегабит и около 300kpps пакетов – DDoS-тест серверу, который находится за mikrotik. В итоге все 36 ядер процессора загружаются полностью, и через 3-5 минут маршрутизатор падает, BGP разрывается. Управление маршрутизатором настроено на другом порту, но и интерфейс управления перестаёт отвечать. Вот такая картина с 10G-портом, после чего маршрутизатор умирает.

iluxa85

Guest

03.04.2015 17:26:00

Коллеги, доброго времени суток. Есть BGP роутер на Mikrotik Cloud Core Router 1036-8G-2S + EM. Для теста используется 10-гигабитный порт SFP + BGP работает без проблем. Решил проверить роутер. Из другого дата-центра запускается поток около 500 мегабит и около 300kpps пакетов DDoS на тестовый сервер, который находится за Mikrotik. В итоге это полностью загружает все 36 ядер процессора на роутере, и примерно через 3-5 минут роутер падает, теряет BGP. Интерфейс управления роутером настроен на другом порту, но он тоже перестаёт отвечать. Вот такая картина — с 10G портом роутер умирает.

iluxa85

Guest

03.04.2015 17:28:00

Коллеги, доброго времени суток. Есть BGP-роутер на mikrotik Cloud Core Router 1036-8G-2S + EM. Для теста используется 10-гигабитный порт SFP + BGP работает нормально. Решил протестировать роутер. Из другого дата-центра запускается поток порядка 500 мегабит и около 300kpps пакетов — DDoS-тест сервера, который стоит за mikrotik. В итоге загрузились все 36 ядер процессора в рейте, а через 3–5 минут роутер падает и сбрасывает BGP. Интерфейс управления роутера настроен на другом порту, но и управление перестает отвечать. Вот картинка с 10G-портом, после чего роутер умирает. График загрузки сетевого интерфейса: http://pixs.ru/showimage/Skrinshot2_7415312_12912807.png

lavv17 Guest	#6 0 13.09.2017 14:20:00 Есть новости по этой проблеме? У меня возникают проблемы с потоком в 300kpps при отключенном отслеживании соединений.

idlemind Guest	#7 0 13.09.2017 14:29:00 Одним из ваших лучших инструментов будет внедрение решения, которое определяет вредоносный трафик так, чтобы его можно было заблокировать на третьем уровне через маршрутизацию. Один из предыдущих авторов рассказывал о своём решении на основе скриптов. Я видел самые разные детализированные решения. Чтобы всё заработало, именно это они и делают: выявляют трафик за основным роутером, а затем распределяют и управляют маршрутами "чёрной дыры" в сети перед более производительными устройствами для инспекции. Кроме того, возможно, лучше будет работать с правилами в таблице RAW. Правда, не могу вспомнить, учитывает ли она PPS (пакетов в секунду).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры