ddos no route ip

0

1

Есть сервер + небольшая сетка ипов (/28). На сервере работают VPSки на OpenVZ. Сеть им раздается через venet0.

Packet routes

First of all, a few words about how packets travel from and to a container. Suppose we have Hardware Node (HN) with a container (CT) on it, and this container talks to some Remote Host (RH). HN has one "real" network interface eth0 and, thanks to OpenVZ, there is also "virtual" network interface venet0.
Inside the container we have interface venet0:0.

    venet0:0               venet0    eth0
CT >------------->-------------> HN >--------->--------> RH

    venet0:0               venet0    eth0
CT <-------------<-------------< HN <---------<--------< RH

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x.x.x.x         *               255.255.255.255 UH    0      0        0 eth0
x.x.x.x         *               255.255.255.255 UH    0      0        0 venet0
link-local      *               255.255.0.0     U     1002   0        0 eth0
default         x.x.x.x         0.0.0.0         UG    0      0        0 eth0

Когда включаю VPSку - появляется новый route. Когда выключаю - пропадает. В тестах участвуют два сервера - 100mbit/s
Проблема заключается в том, что если начать атаковать IP для которого нет route -> я получаю очень много трафика.
Сначала я проверял icmp( на сервере net.ipv4.icmp_echo_ignore_all=1 ) ==> картинка.

hping3 --flood --icmp -S -p 21 ip_offvps
bwm-ng (сервер который атакуем): 44000 KB/s IN и 30800 KB/s OUT

Потом я решил попробовать udp ==> картинка.

hping3 --flood --udp -S ip_offvps
bwm-ng (сервер который атакуем): 38000 KB/s IN и 26800 KB/s OUT

И далее я занулил ип VPS ==> картинка.

ip route add blackhole x.x.x.x
bwm-ng (сервер который атакуем): 12800 KB/s IN и 17 KB/s OUT

А вот еще результат, если VPS включена и канал для нее лимит tc shaper на 15mbit/s in/out ==> картинка.

tcpdump icmp

19:54:20.541984 IP static.DDOS.clients.your-server.de > static.VPS-OFF.clients.your-server.de: ICMP echo request, id 13589, seq 0, length 8

tcpdump udp

20:15:47.251733 IP static.DDOS.clients.your-server.de.about > static.VPS-OFF.clients.your-server.de.0: UDP, length 0

Такой же результат был и на обычном ядре.
Сервер с одним IP, дополнительные не были прописаны. Если атаковать их - результат будет такой же.
Почему трафик увеличивается в таких количествах? Способы решения кроме добавления в blackhole?

Ссылка

←	отдать один проц виртуалке

squid 3 basic auth

→

читал по диагонали, про OpenVZ ничего не знаю, но по описанию похоже на L3 loop

zolden ★★★★★
(10.04.13 06:20:56 MSK)

Не вчитывался.

Так всё логично. Трафик приходит на сервер, там маршрута нет, он сливается на default gw, там маршрут есть, трафик уходит на сервер, там маршрута нет... И понеслось, пока ttl не кончится у пакета. blackhole на всю сеть - правильный выход.

AS ★★★★★
(10.04.13 09:45:42 MSK)

Ответ на: комментарий от AS 10.04.13 09:45:42 MSK

И еще несколько скриншотов.
net.ipv4.ip_forward = 1 - много трафика
net.ipv4.ip_forward = 0 - мало трафика

poiuty ★
(10.04.13 17:33:44 MSK) автор топика

Ссылка

Ответ на: комментарий от zolden 10.04.13 06:20:56 MSK

Эту проблему должен решать дата-центр или это норма? И только в blackhole?

poiuty ★
(10.04.13 17:48:57 MSK) автор топика

Ответ на: комментарий от poiuty 10.04.13 17:48:57 MSK

Эту проблему должен решать дата-центр или это норма?

По ситуации. Если роутер датацентра роутит на сервер весь диапазон, как на маршрутизатор, то вопрос надо решать на сервере - датацентровский роутер не сможет ничего сделать. Там же нет информации о рабочих, в данный момент, IP. Или же надо динамическую маршрутизацию делать между сервером и роутером и анонсировать маршруты по одному IP, но я не думаю, что датацентр на такой вариант пойдёт. По крайней мере, я о реализации таких вариантов для клиентов не слышал.

AS ★★★★★
(10.04.13 18:24:19 MSK)

Ответ на: комментарий от AS 10.04.13 18:24:19 MSK

Я написал знакомому который арендует сервера в leaseweb.
Мы попробовали воспроизвести ==> не получилось.
А cаппорт hetzner просто ответил

We don't offer any software support

poiuty ★
(10.04.13 18:41:35 MSK) автор топика

Ссылка

Ответ на: комментарий от AS 10.04.13 18:24:19 MSK

Впрочем, для OpenVZ можно в .sh скриптах дописать добавление / удаление IP контейнеров в блекхол.

poiuty ★
(10.04.13 18:48:19 MSK) автор топика

Ответ на: комментарий от poiuty 10.04.13 18:48:19 MSK

Зачем ?

ip route add blackhole 10.0.0.0/8

А появляющиеся более мелкие 10.0.0.1/32 будут иметь приоритет над 10.0.0.0/8

AS ★★★★★
(11.04.13 11:17:05 MSK)

Ответ на: комментарий от AS 11.04.13 11:17:05 MSK

Попробовал ip route add blackhole 10.0.0.0/8 - аналогично.

poiuty ★
(14.04.13 00:47:14 MSK) автор топика

Ответ на: комментарий от poiuty 14.04.13 00:47:14 MSK

В смысле ? При наличии blackhole на всю сеть пакеты, всё равно, начинают по кругу бегать между сервером и шлюзом ?

AS ★★★★★
(14.04.13 13:38:56 MSK)

Ответ на: комментарий от AS 14.04.13 13:38:56 MSK

Да, если ip route add blackhole 10.0.0.0/8 - аналогично море трафика. Как IN так и UOT.

poiuty ★
(14.04.13 14:33:43 MSK) автор топика

Ответ на: комментарий от poiuty 14.04.13 14:33:43 MSK

Да, если ip route add blackhole 10.0.0.0/8

Глупый вопрос: вместо 10.0.0.0/8, конечно, та реальная сеть /28 ? Потому как иначе объяснений у меня нет пока...

AS ★★★★★
(14.04.13 15:35:23 MSK)

Ответ на: комментарий от AS 14.04.13 15:35:23 MSK

AS, спасибо, я ошибся сеткой. Все отлично работает. Благодарю.

poiuty ★
(14.04.13 16:27:01 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	отдать один проц виртуалке

Admin

squid 3 basic auth

→

Похожие темы