UDP Flood

[Orel005]

Zdravim,
poradi me nekdo zda je velky problem pozadat sveho dodavatele konektivity aby Vam omezil / vypnul zahranicni konektivitu ? Jsme pod utokem jiz skoro 18 hodin, utok je o sile cca 20-25 Gbps a at delame co delame, tak nic nenadelam. Zmigrovali jsme sluzby na jine adresy a za nedlouho zacel utok i na ne. 2 ISP ( Grape a CDT ), kdyz jsem je pozadal o omezeni zahranicni konektivity, nebo spis uplne odpojeni. Tak pomyslne kroutili rameny, ze to nepujde / nejde...
Jak je toto tezke ?

[Bach]

Zdravim,
poradi me nekdo zda je velky problem pozadat sveho dodavatele konektivity aby Vam omezil / vypnul zahranicni konektivitu ? Jsme pod utokem jiz skoro 18 hodin, utok je o sile cca 20-25 Gbps a at delame co delame, tak nic nenadelam. Zmigrovali jsme sluzby na jine adresy a za nedlouho zacel utok i na ne. 2 ISP ( Grape a CDT ), kdyz jsem je pozadal o omezeni zahranicni konektivity, nebo spis uplne odpojeni. Tak pomyslne kroutili rameny, ze to nepujde / nejde...
Jak je toto tezke ?

Ruzicka GRAPE SC: Jde vidět, že nevíte jak to přesně funguje. Spravne bych musel rozsah Vaseho providera rozsekat a udelat v ripe route zaznamy.- respektive by to musel udelat vlastnik rozsahu. Pote bych musel svym peering partnerum oznamit, že jim nebudu posílat /20, ale 16*/24 Nehlede na to ze nemate nektere cele /24. /25 nikdo neakceptuje. Pak bych ano mohl upravit prefix listy a pustit jen nektere rozsahy nekterym peerum.

[Bach]

Zdravim,
poradi me nekdo zda je velky problem pozadat sveho dodavatele konektivity aby Vam omezil / vypnul zahranicni konektivitu ? Jsme pod utokem jiz skoro 18 hodin, utok je o sile cca 20-25 Gbps a at delame co delame, tak nic nenadelam. Zmigrovali jsme sluzby na jine adresy a za nedlouho zacel utok i na ne. 2 ISP ( Grape a CDT ), kdyz jsem je pozadal o omezeni zahranicni konektivity, nebo spis uplne odpojeni. Tak pomyslne kroutili rameny, ze to nepujde / nejde...
Jak je toto tezke ?

Ruzicka GRAPE SC: Jde vidět, že nevíte jak to přesně funguje. Spravne bych musel rozsah Vaseho providera rozsekat a udelat v ripe route zaznamy.- respektive by to musel udelat vlastnik rozsahu. Pote bych musel svym peering partnerum oznamit, že jim nebudu posílat /20, ale 16*/24 Nehlede na to ze nemate nektere cele /24. /25 nikdo neakceptuje. Pak bych ano mohl upravit prefix listy a pustit jen nektere rozsahy nekterym peerum.

PS: kus utoku sel i přes NIX

[Orel005]

Zdravim,
poradi me nekdo zda je velky problem pozadat sveho dodavatele konektivity aby Vam omezil / vypnul zahranicni konektivitu ? Jsme pod utokem jiz skoro 18 hodin, utok je o sile cca 20-25 Gbps a at delame co delame, tak nic nenadelam. Zmigrovali jsme sluzby na jine adresy a za nedlouho zacel utok i na ne. 2 ISP ( Grape a CDT ), kdyz jsem je pozadal o omezeni zahranicni konektivity, nebo spis uplne odpojeni. Tak pomyslne kroutili rameny, ze to nepujde / nejde...
Jak je toto tezke ?

Ruzicka GRAPE SC: Jde vidět, že nevíte jak to přesně funguje. Spravne bych musel rozsah Vaseho providera rozsekat a udelat v ripe route zaznamy.- respektive by to musel udelat vlastnik rozsahu. Pote bych musel svym peering partnerum oznamit, že jim nebudu posílat /20, ale 16*/24 Nehlede na to ze nemate nektere cele /24. /25 nikdo neakceptuje. Pak bych ano mohl upravit prefix listy a pustit jen nektere rozsahy nekterym peerum.

Ano, proto jsem polozil zde svuj dotaz. Protoze skutecne nevim jak to funguje. Nechci nikoho schazovat, nechci nikoho pomlouvat. Chtel jsem reseni. A jestli to nejak jde, tak me muj provider rekl ze to nejde. Nekolikrat jsem ho zadal aby adresy ktere od nej mame byli rozdeleny po /24 blocich. Je to jak ochrana proti spamu, tak jak vidim i proti dalsimu.

[ludvik]

Segmenty /24 v globálních tabulkách jsou peklo, na které jednou internet dojede ... dřív, než se nadějeme. IPv6 to zachránit nestihne.

[Dalibor Toman]

Segmenty /24 v globálních tabulkách jsou peklo, na které jednou internet dojede ... dřív, než se nadějeme. IPv6 to zachránit nestihne.

http://www.potaroo.net/ispcol/2015-01/bgp2014.html

krasne je tam videt rust poctu routu v BGP ackoliv IPcka uz dosly. Drobi se a drobi...

[Hobbit]

jo jo, /24 je sileny.
v routovaci tabulce je pres pul milionu zaznamu, z cehoz polovina jsou je /24. (pro presna cisla se mrknete sami, nechce se mi to ted hledat).
Silenosti /25 a i mensi vubec neberu v potaz, tim ze je nikdo neakceptuje, tak se nastesti moc nevyskytuji.

Tim ze dosly IPcka se narust poctu rout vubec nezmenil, proste se to ted fragmentuje a fragmentuje.....

Kdyz si vezmu, ze paterni prvky maji routovaci tabulky hned nekolikrat, tak jim to vubec nezavidim.

nicmene k problematice - rozlamat pridel na /24 opravdu neni uplne banalita a kdyz jde utok i z nixu, tak to stejne nic nevyresi.

[Bach]

Dobrý den, ještě máte možnost se zaregistrovat u RIPE a získat /22 rozsah. Pak můžete ty své 4C oznamovat samostatně.

[Tomáš Nesrsta]

Já mám za to že RIPE už IPv4 nepřiděluje. Teda alespoň podle ISP-servisu:

http://isp-servis.cz/register_ip.html

[Majklik]

Pokud vlezu nyní do RIPE, zpalatím vstupní poplatek a nafasuji si /32 IPv6 příděl, tka k tomu ještě dostanu i jednorázově /22 IPv4, ten už ale nejde zvětšit. Pokud se stnau přímo RIPE členem, pokud beru přes jiného LIRa, tak záleží na tom, co má tne další nasysleno a je ochoten mi přepustit/přeprodat...

Ohledně toho UDP floodu, pokud mám se sousedy BGP , tak jedině je šance si hrát s comunity stringy, pokud je uplink podporuje, pak může propagovat konkrétní IPčka k peerovi s nějakou domluvenou komunitou a on u sebe bude přímo dropovat pakety mířící na tyto IPčka, často <AS peera>:666. Ale tohle má smysl, pokud útok míří jen na několik mých cílových adres, že tokem na ně si neucpu poslední hop k sobě.