BGP и как не анонсить одну айпишку
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
BGP и как не анонсить одну айпишку
Как можно не анонсить одну айпишку из подсетки?
Это как метод борьбы с DOS-атакой.
слышал что так делают люди, но как это сделать в bgp не знаю.
Это как метод борьбы с DOS-атакой.
слышал что так делают люди, но как это сделать в bgp не знаю.
Помни о смерти, все суета сует....
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
нашел как настроить у себя (http://noc.datagroup.com.ua/our_bh_rus.txt), а вот какие должны быть настройки у аплинка, нету негде, и сам аплинг готов пойти на встреча, да тоже не знает как это настроить....
никто такое не пробовал?
никто такое не пробовал?
Помни о смерти, все суета сует....
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: BGP и как не анонсить одну айпишку
Самому интересно стало , если найдёшь, обязательно поделись.
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: BGP и как не анонсить одну айпишку
Зачем это надо? Чтобы не валил входящий трафик за который надо платить?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
причем тут платить? что б не валил трафик и не забивал канал. чего не ясно?
Помни о смерти, все суета сует....
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
bgp не работает с адресами. Он работает с сетями. Сеть маской меньше /24 далеко не все от тебя примут, т.к. память маршрутизаторов не бесконечна, да и процессоры тоже. Так что ты можешь либо анонсить сеть целиком,либо не анонсить вообще.
Другое дело, что при беглом просмотре твоей ссылки, суть там в том, что трафик, приходящий на определенный айпишник, просто сливается в помойку и все. Но я не пойму, нафига покупать адреса, что б их потом не использовать?
Другое дело, что при беглом просмотре твоей ссылки, суть там в том, что трафик, приходящий на определенный айпишник, просто сливается в помойку и все. Но я не пойму, нафига покупать адреса, что б их потом не использовать?
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
Вы правда администрируете АС?savio писал(а):причем тут платить? что б не валил трафик и не забивал канал. чего не ясно?
Это вопрос в стиле "как заклеить все дырочки в крышке бензобака, что б бензин не испарялся"
Ради интереса, посчитайте сколько такого "левого" трафика будет "валить" на неиспользуемые адреса. Да и разберитесь с принципами маршрутизации в целом.
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
то есть вы считаете, что вот это - http://noc.datagroup.com.ua/our_bh_rus.txt бред?
На колокейшн прибудет сервер, который, заранее известно, будут ддосить.
В случай серьезной атаки, очень хотеться не анонсить айпишку этого сервера, что б не забился канал.
На колокейшн прибудет сервер, который, заранее известно, будут ддосить.
В случай серьезной атаки, очень хотеться не анонсить айпишку этого сервера, что б не забился канал.
Помни о смерти, все суета сует....
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
Хорошо, все же прочитал эту статью. Конфигов там меньше половины. Но,насколько я понят, схема так такая.
Есть подсеть, допустим, 192.168.0.0/24. Топология конечный клиент - маршрутизатор (циска или квага) - апстрим.
Конечный клиент сообщает маршрутизатору по внутр протоколу маршрут к себе с тагом 7777. Маршрутизатор, получая маршрут с тагом 7777, переписывает его в bgp-комюнити 21219:7777 и отправляет на апстрим.
Но тут есть пара вопросов. Комюнити можно поставить, насколько я помню, только на анонс целмком, т.е. нельзя анонсировать 192.168.0.0/24, а дрес в этом анонсе 192.168.0.1 с комюнити 21219:7777. Т.е. как выход, анонсируем сеть +отдельно нужные адреса.
В итоге анонсируем сеть целиком + отдельно анонсим те адреса,на которые не хотим принимать трафик, с комюнити 21219:7777.
Провайдер, как только видит маршрут с комюнити 21219:7777, сразу сливает весь трафик по этому маршруту в помойку.
У провайдера 6 строчек, у тебя чуть больше.
Но не вижу принципиальной разницы между этой реализацией, и просто выдернутым пачкордом.
Есть подсеть, допустим, 192.168.0.0/24. Топология конечный клиент - маршрутизатор (циска или квага) - апстрим.
Конечный клиент сообщает маршрутизатору по внутр протоколу маршрут к себе с тагом 7777. Маршрутизатор, получая маршрут с тагом 7777, переписывает его в bgp-комюнити 21219:7777 и отправляет на апстрим.
Но тут есть пара вопросов. Комюнити можно поставить, насколько я помню, только на анонс целмком, т.е. нельзя анонсировать 192.168.0.0/24, а дрес в этом анонсе 192.168.0.1 с комюнити 21219:7777. Т.е. как выход, анонсируем сеть +отдельно нужные адреса.
В итоге анонсируем сеть целиком + отдельно анонсим те адреса,на которые не хотим принимать трафик, с комюнити 21219:7777.
Провайдер, как только видит маршрут с комюнити 21219:7777, сразу сливает весь трафик по этому маршруту в помойку.
У провайдера 6 строчек, у тебя чуть больше.
Но не вижу принципиальной разницы между этой реализацией, и просто выдернутым пачкордом.
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
И вообще не пойму, как и зачем применить эту схему к солокейшену. Вы администратор сервера или солокейшена? Если первое, то вообще не ваши проблемы, если второе, то это как бы не решение, имхо. Вообще с ддосом борются несколько по-другому....
- gloom
- лейтенант
- Сообщения: 738
- Зарегистрирован: 2008-03-13 16:29:12
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
года 3 назад один ресурс ддосили 4 гигабит/сек
хостер автоматом отключал ипишник атака падала часика через 1.5 до приемлемых величин
и снова возрастала хостер снова отрубал ипи
и если сильно надо было то добраться до ресурса можно было течении 2 часов
интересно как ето ну них реализовано было
думаю трафик резали они не у себя
хостер автоматом отключал ипишник атака падала часика через 1.5 до приемлемых величин
и снова возрастала хостер снова отрубал ипи
и если сильно надо было то добраться до ресурса можно было течении 2 часов
интересно как ето ну них реализовано было
думаю трафик резали они не у себя
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
Интересно, че это за хостинг был, который мог пропускать до 4 гигабит на клиента? Некисло использовать 10Гигабитое оборудование на хостинге. У нас провайдеры себе такого позволить не могли, насколько мне известно. Три года назад)gloom писал(а):года 3 назад один ресурс ддосили 4 гигабит/сек
хостер автоматом отключал ипишник атака падала часика через 1.5 до приемлемых величин
и снова возрастала хостер снова отрубал ипи
и если сильно надо было то добраться до ресурса можно было течении 2 часов
интересно как ето ну них реализовано было
думаю трафик резали они не у себя
И че-то сильно интересный метод борьбы с ддосом для такого некислого хостера....
Кстате, почему так думаете? Если не у себя, тогда предположите, укого.
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
Так это у вас провайдеры позвлоть такого не могут, у нас могут, цена вопроса и все проблемы.
А по поводу метода борьбы с ддос, так это самое то. Метод не сильно афишированный, но рабочий.
Вопрос в том, как это сделать правильно. как настроить.
А по поводу метода борьбы с ддос, так это самое то. Метод не сильно афишированный, но рабочий.
Вопрос в том, как это сделать правильно. как настроить.
Помни о смерти, все суета сует....
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
)))))))))savio писал(а):Так это у вас провайдеры позвлоть такого не могут, у нас могут, цена вопроса и все проблемы.
Откройте секрет. Сколько? За фултаймовый 4 гбс? И какие хостинги реально этим пользуются? При этом используя такие интересные методы..
Метод какой? Метода не анонсировать один ип из сети не существует. Если не верите мне, пройдитесь по лукинг-глассам, посмотрите их таблицы. Для справки, на данный момент циска "гарантирует" схождение bgp за 3 дня-неделю. Русскими словами, если я сейчас перестану анонсить свои сети, трафик будет дуплится по интернету еще пару чаосв миниум. Но если я их потом включу, гарантированная доступность будет в лучшем случае через сутки. А если я так сделаю пару раз за час, серьезные маршрутизаторы пошлют менядалеко и надолго. ПОчитайте бгп-дампенинг. Нормальные конторы его уже давно используют.savio писал(а): А по поводу метода борьбы с ддос, так это самое то. Метод не сильно афишированный, но рабочий.
Вопрос в том, как это сделать правильно. как настроить.
Вырубать хост из маршоутов метод не сильно афищированный)) Ну да... Только из-за его бессмыслицы.
Правильно это не сделать никак. Еще раз скажу, что хост из анонсируемой по бгп подсети вы не выбросите. Все равно вышестоящий провайдер сеть анонсировать будет целиком. Суть вашего рецепта в том, чтобы вышестоящий провайдер сливал трафик на определенный хост в помойку. Ну дак это можно решить куда более просто.
Для борьбы с ддосом есть куча сопособов. ПОчему вы уперлись именно в этот?
Если вас все еще интересует как правильно настроить, опишите поподробнее свою топологию. Вы работает на реальных адерсах? АС своя?
Правельный метод работы с комюнити - роутмапы. Отсюда и пляшите. Матч комьюнити, действие.
Странно, что администратор АС не знает как это сделать....
- agat
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2009-10-27 1:21:55
- Откуда: Солнечная система, планета Земля, Россия
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
хм, прочитал, стало грустно.
ИМХО я бы оставил bgp в покое и разруливал бы количеством коннектов к серверу на самом сервере.
Для начала сделал бы логирование всего по максимуму, и определение природы ddos
ни кто ж не запрещает запретить все в фаерволе и сливать все обращения в /dev/null
ИМХО я бы оставил bgp в покое и разруливал бы количеством коннектов к серверу на самом сервере.
Для начала сделал бы логирование всего по максимуму, и определение природы ddos
ни кто ж не запрещает запретить все в фаерволе и сливать все обращения в /dev/null
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
А че грустно-то стало?)
Ну,насчет коннектов-как вариант, если серис работает по tcp. Так же что мешает тупо жестко ограничить полосу пропускания? Вообще борьба с ддосом обычно заключается не в "бегом в кусты", а в балансировке, ограничении конектов с хоста, выявлении атакующих хостов и блокировании их и т.п. В общем, результатом работы должна быть доступность сервиса, а не его исчезновение. А bgp и ддос.. Это как геморой гельятиной лечить. Метод, конечно, эффективный, но немножко не то.
Аффтор, все же попробуйте забить канал атаками на выключенный хост. Я думаю, если канал не диал-ап, вы развенчаете свой миф, что это реально возможно. Но даже если так, то ограничение пропускной способности решит вашу проблему.
Ну,насчет коннектов-как вариант, если серис работает по tcp. Так же что мешает тупо жестко ограничить полосу пропускания? Вообще борьба с ддосом обычно заключается не в "бегом в кусты", а в балансировке, ограничении конектов с хоста, выявлении атакующих хостов и блокировании их и т.п. В общем, результатом работы должна быть доступность сервиса, а не его исчезновение. А bgp и ддос.. Это как геморой гельятиной лечить. Метод, конечно, эффективный, но немножко не то.
Аффтор, все же попробуйте забить канал атаками на выключенный хост. Я думаю, если канал не диал-ап, вы развенчаете свой миф, что это реально возможно. Но даже если так, то ограничение пропускной способности решит вашу проблему.
- gloom
- лейтенант
- Сообщения: 738
- Зарегистрирован: 2008-03-13 16:29:12
- Откуда: UA
Re: BGP и как не анонсить одну айпишку
ддос бывает такой что больше сумарной ширины ВСЕХ каналов датацентра
и фильтрация по месту ничего не даст!
и фильтрация по месту ничего не даст!
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
У вас был?
И решение на уровне дата центра ничего не дало? Решали на уровне провайдеров? Или провайдеров провайдеров? Или провайдеров ддосеров?)
Если так, то я б не разместил свои сервера в таком дата центре..
Цель ддоса - недоступность сервиса.А если при этом еще удастся надоумить админа, что б он всю подсеть перестал анонсить, так это вообще просто песня какой успех. А если он при этом еще будет считать себя Великим Борцом и остальных учить тому же....
И решение на уровне дата центра ничего не дало? Решали на уровне провайдеров? Или провайдеров провайдеров? Или провайдеров ддосеров?)
Если так, то я б не разместил свои сервера в таком дата центре..
Цель ддоса - недоступность сервиса.А если при этом еще удастся надоумить админа, что б он всю подсеть перестал анонсить, так это вообще просто песня какой успех. А если он при этом еще будет считать себя Великим Борцом и остальных учить тому же....
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: BGP и как не анонсить одну айпишку
Они еще не знают про способ закрыть анонс по bgp...Но все же методы борьбы с DDoS атаками существуют и наихудший из них - это выключение сервера в случае DDoS нападений. Таким способом вы сообщаете, что вы не защищены от такого рода нападений и не сможете отразить DDoS.
http://www.google.ru/search?hl=ru&lr=la ... os&spell=1
Давайте говорить предметно. Большинство отписавшихся здесь даже примерно не представляют, о чем говорят. Без обид.
- gloom
- лейтенант
- Сообщения: 738
- Зарегистрирован: 2008-03-13 16:29:12
- Откуда: UA