co dělat s ddos od NIXu?

[okoun]

no jak? neodbavil bylo to zde řečeno pomocí RTBH https://www.youtube.com/watch?v=ojUupVrekzs odklonit
jen ted pracuji na automatizaci, vyhodnocování záškodníků pomocí netflow v rozumném čase a vyhledání daných záškodnických ASN.

[TTcko]

já to vím ptal sem se juliana .. páč bez spolupráce s upstream nedokážeš nic ..

[Petr Bačina]

To je přeci jasné ne... musíš mít 100Gb linku a všechno k tomu. Nesmíš být troškař

[TTcko]

To je přeci jasné ne... musíš mít 100Gb linku a všechno k tomu. Nesmíš být troškař

[Dalibor Toman]

no jak? neodbavil bylo to zde řečeno pomocí RTBH https://www.youtube.com/watch?v=ojUupVrekzs odklonit
jen ted pracuji na automatizaci, vyhodnocování záškodníků pomocí netflow v rozumném čase a vyhledání daných záškodnických ASN.

zdrojova IP budou napadene PC a routery lidi po celem svete, takze filtrovat podle ASN bude problem (ale facebook a youtube pojede, takze Internet bude funkcni ). Filtrovat podle cilove IP (RTBH) je taky na pytel, pokud to postihuje cely Tvuj IP rozsah. Efektivni by byl FlowSpec ale ten v NIXu nejde vyuzit.
Jinak na tuhle detekci je z levnych reseni asi nejlepsi uz zmineny FastNetMon. Vyzaduje to jen stroj na kterem pobezi a na ktery lze z mirorovat (v optimalnim pripade) traffic nebo posilat sFlow apod.

[okoun]

dnes okolo 13:32 další útok zatím nejdelší....

[Dalibor Toman]

dnes okolo 13:32 další útok zatím nejdelší....

V Nix tech-confu nekdo (mozna Ty?) zminuje, ze dostal mail s zadosti o vypalne v BTC jinak budou utoky pokracovat....

[TTcko]

trocha infa ..

Dear peering partners,

Because I see only an information like "we are under attack" with no
technical information, I would like to provide some.

We experienced 20Gbps+ attacks facing some of our IP transit customers,
typicaly those having their own ASN and one or two smaller prefixes. The
mode they use is "carpet bombing", i.e. spread over the whole prefix.

Traffic is udp/0 -> udp/0, udp/389 -> udp/any and icmp type 3. Packet
size varies. Sources spread over the world. They take longer time than
usual five minutes, we have seen such attacks taking up to two hours.
The most of such a traffic we got over DE-CIX, AMS-IX and IP transit
partners. Traffic over NIX.CZ is not significant.

Due to the attack characteristics, it is inefficient to use filtering
rule nor RTBH. It is possible to mitigate such an attack an efficient
way using more flowspec rules or TMS. Contact your upstream operators if
your uplinks become congested.

[okoun]

dnes okolo 13:32 další útok zatím nejdelší....

V Nix tech-confu nekdo (mozna Ty?) zminuje, ze dostal mail s zadosti o vypalne v BTC jinak budou utoky pokracovat....

nene já ho teprve čekám
jinak to info je z toho našeho útoku co jsem řešil i s dialem.... útok trval docela dlouho

[Peyrak]

Myslím, že jsme tu všichni technici, takže by bylo vhodné ten údaj "docela dlouho" upřesnit. Díky

[basty]

Staci se podivat na grafy nixu...

[okoun]

Myslím, že jsme tu všichni technici, takže by bylo vhodné ten údaj "docela dlouho" upřesnit. Díky

chceš to na sekundy? snad to bude stačit: 13.5.2019 13:32-15:14
s porovnáním v neděli kdy to bylo jednou 15minut a podruhé 20minut je toto dost....

[kadlcikales]

Staci se podivat na grafy nixu...

Podle grafů v nixu to je problém více sítí a vysaturuje jim to vždy linku na max na cca 15min a pak přestane....

[basty]

Ano. Jen ty co mají úzký link, nebo spíš u těch silných je to tak slabý že je to nepozorovatelný .

[TTcko]

heh:-) no je docela rozdíl sypat UDP na cíl a zvednout traffic z 200M na 1G a jinak z 1G na 10G, že

spíš je to průser NIXu, že v dnešní době vůbec řešej 1G porty, vždyť to je ostuda, se divím že neprodávaj 100M/10M porty.... beztak hardwarově to je 10G port ..

no nic to je ta politika ..