BGP и как не анонсить одну айпишку

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

BGP и как не анонсить одну айпишку

Непрочитанное сообщение savio » 2010-03-16 17:06:50

Как можно не анонсить одну айпишку из подсетки?
Это как метод борьбы с DOS-атакой.
слышал что так делают люди, но как это сделать в bgp не знаю.
Помни о смерти, все суета сует....

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение savio » 2010-03-16 18:52:34

нашел как настроить у себя (http://noc.datagroup.com.ua/our_bh_rus.txt), а вот какие должны быть настройки у аплинка, нету негде, и сам аплинг готов пойти на встреча, да тоже не знает как это настроить....

никто такое не пробовал?
Помни о смерти, все суета сует....

Аватара пользователя
skeletor
майор
Сообщения: 2481
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение skeletor » 2010-03-16 22:05:57

Самому интересно стало :), если найдёшь, обязательно поделись.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение terminus » 2010-03-16 22:30:14

Зачем это надо? Чтобы не валил входящий трафик за который надо платить?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение savio » 2010-03-16 22:59:35

причем тут платить? что б не валил трафик и не забивал канал. чего не ясно?
Помни о смерти, все суета сует....

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-17 14:50:41

bgp не работает с адресами. Он работает с сетями. Сеть маской меньше /24 далеко не все от тебя примут, т.к. память маршрутизаторов не бесконечна, да и процессоры тоже. Так что ты можешь либо анонсить сеть целиком,либо не анонсить вообще.
Другое дело, что при беглом просмотре твоей ссылки, суть там в том, что трафик, приходящий на определенный айпишник, просто сливается в помойку и все. Но я не пойму, нафига покупать адреса, что б их потом не использовать?

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-17 14:53:37

savio писал(а):причем тут платить? что б не валил трафик и не забивал канал. чего не ясно?
Вы правда администрируете АС?
Это вопрос в стиле "как заклеить все дырочки в крышке бензобака, что б бензин не испарялся"

Ради интереса, посчитайте сколько такого "левого" трафика будет "валить" на неиспользуемые адреса. Да и разберитесь с принципами маршрутизации в целом.

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение savio » 2010-03-17 15:06:41

то есть вы считаете, что вот это - http://noc.datagroup.com.ua/our_bh_rus.txt бред?
На колокейшн прибудет сервер, который, заранее известно, будут ддосить.
В случай серьезной атаки, очень хотеться не анонсить айпишку этого сервера, что б не забился канал.
Помни о смерти, все суета сует....

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-17 15:51:37

Хорошо, все же прочитал эту статью. Конфигов там меньше половины. Но,насколько я понят, схема так такая.
Есть подсеть, допустим, 192.168.0.0/24. Топология конечный клиент - маршрутизатор (циска или квага) - апстрим.
Конечный клиент сообщает маршрутизатору по внутр протоколу маршрут к себе с тагом 7777. Маршрутизатор, получая маршрут с тагом 7777, переписывает его в bgp-комюнити 21219:7777 и отправляет на апстрим.
Но тут есть пара вопросов. Комюнити можно поставить, насколько я помню, только на анонс целмком, т.е. нельзя анонсировать 192.168.0.0/24, а дрес в этом анонсе 192.168.0.1 с комюнити 21219:7777. Т.е. как выход, анонсируем сеть +отдельно нужные адреса.
В итоге анонсируем сеть целиком + отдельно анонсим те адреса,на которые не хотим принимать трафик, с комюнити 21219:7777.
Провайдер, как только видит маршрут с комюнити 21219:7777, сразу сливает весь трафик по этому маршруту в помойку.
У провайдера 6 строчек, у тебя чуть больше.

Но не вижу принципиальной разницы между этой реализацией, и просто выдернутым пачкордом.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-17 15:54:55

И вообще не пойму, как и зачем применить эту схему к солокейшену. Вы администратор сервера или солокейшена? Если первое, то вообще не ваши проблемы, если второе, то это как бы не решение, имхо. Вообще с ддосом борются несколько по-другому....

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение gloom » 2010-03-19 18:03:29

года 3 назад один ресурс ддосили 4 гигабит/сек
хостер автоматом отключал ипишник атака падала часика через 1.5 до приемлемых величин
и снова возрастала хостер снова отрубал ипи
и если сильно надо было то добраться до ресурса можно было течении 2 часов

интересно как ето ну них реализовано было
думаю трафик резали они не у себя

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-20 10:21:57

gloom писал(а):года 3 назад один ресурс ддосили 4 гигабит/сек
хостер автоматом отключал ипишник атака падала часика через 1.5 до приемлемых величин
и снова возрастала хостер снова отрубал ипи
и если сильно надо было то добраться до ресурса можно было течении 2 часов

интересно как ето ну них реализовано было
думаю трафик резали они не у себя
Интересно, че это за хостинг был, который мог пропускать до 4 гигабит на клиента? Некисло использовать 10Гигабитое оборудование на хостинге. У нас провайдеры себе такого позволить не могли, насколько мне известно. Три года назад)
И че-то сильно интересный метод борьбы с ддосом для такого некислого хостера....

Кстате, почему так думаете? Если не у себя, тогда предположите, укого.

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение savio » 2010-03-20 10:28:52

Так это у вас провайдеры позвлоть такого не могут, у нас могут, цена вопроса и все проблемы.
А по поводу метода борьбы с ддос, так это самое то. Метод не сильно афишированный, но рабочий.
Вопрос в том, как это сделать правильно. как настроить.
Помни о смерти, все суета сует....

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-20 22:30:39

savio писал(а):Так это у вас провайдеры позвлоть такого не могут, у нас могут, цена вопроса и все проблемы.
)))))))))
Откройте секрет. Сколько? За фултаймовый 4 гбс? И какие хостинги реально этим пользуются? При этом используя такие интересные методы..
savio писал(а): А по поводу метода борьбы с ддос, так это самое то. Метод не сильно афишированный, но рабочий.
Вопрос в том, как это сделать правильно. как настроить.
Метод какой? Метода не анонсировать один ип из сети не существует. Если не верите мне, пройдитесь по лукинг-глассам, посмотрите их таблицы. Для справки, на данный момент циска "гарантирует" схождение bgp за 3 дня-неделю. Русскими словами, если я сейчас перестану анонсить свои сети, трафик будет дуплится по интернету еще пару чаосв миниум. Но если я их потом включу, гарантированная доступность будет в лучшем случае через сутки. А если я так сделаю пару раз за час, серьезные маршрутизаторы пошлют менядалеко и надолго. ПОчитайте бгп-дампенинг. Нормальные конторы его уже давно используют.
Вырубать хост из маршоутов метод не сильно афищированный)) Ну да... Только из-за его бессмыслицы.
Правильно это не сделать никак. Еще раз скажу, что хост из анонсируемой по бгп подсети вы не выбросите. Все равно вышестоящий провайдер сеть анонсировать будет целиком. Суть вашего рецепта в том, чтобы вышестоящий провайдер сливал трафик на определенный хост в помойку. Ну дак это можно решить куда более просто.
Для борьбы с ддосом есть куча сопособов. ПОчему вы уперлись именно в этот?

Если вас все еще интересует как правильно настроить, опишите поподробнее свою топологию. Вы работает на реальных адерсах? АС своя?
Правельный метод работы с комюнити - роутмапы. Отсюда и пляшите. Матч комьюнити, действие.
Странно, что администратор АС не знает как это сделать....

Аватара пользователя
agat
мл. сержант
Сообщения: 138
Зарегистрирован: 2009-10-27 1:21:55
Откуда: Солнечная система, планета Земля, Россия
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение agat » 2010-03-21 10:43:49

хм, прочитал, стало грустно.
ИМХО я бы оставил bgp в покое и разруливал бы количеством коннектов к серверу на самом сервере.
Для начала сделал бы логирование всего по максимуму, и определение природы ddos
ни кто ж не запрещает запретить все в фаерволе и сливать все обращения в /dev/null

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-21 19:16:46

А че грустно-то стало?)
Ну,насчет коннектов-как вариант, если серис работает по tcp. Так же что мешает тупо жестко ограничить полосу пропускания? Вообще борьба с ддосом обычно заключается не в "бегом в кусты", а в балансировке, ограничении конектов с хоста, выявлении атакующих хостов и блокировании их и т.п. В общем, результатом работы должна быть доступность сервиса, а не его исчезновение. А bgp и ддос.. Это как геморой гельятиной лечить. Метод, конечно, эффективный, но немножко не то.

Аффтор, все же попробуйте забить канал атаками на выключенный хост. Я думаю, если канал не диал-ап, вы развенчаете свой миф, что это реально возможно. Но даже если так, то ограничение пропускной способности решит вашу проблему.

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение gloom » 2010-03-22 3:09:12

ддос бывает такой что больше сумарной ширины ВСЕХ каналов датацентра
и фильтрация по месту ничего не даст!

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-22 8:26:43

У вас был?
И решение на уровне дата центра ничего не дало? Решали на уровне провайдеров? Или провайдеров провайдеров? Или провайдеров ддосеров?)
Если так, то я б не разместил свои сервера в таком дата центре..

Цель ддоса - недоступность сервиса.А если при этом еще удастся надоумить админа, что б он всю подсеть перестал анонсить, так это вообще просто песня какой успех. А если он при этом еще будет считать себя Великим Борцом и остальных учить тому же....

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: BGP и как не анонсить одну айпишку

Непрочитанное сообщение Al » 2010-03-22 8:35:39

Но все же методы борьбы с DDoS атаками существуют и наихудший из них - это выключение сервера в случае DDoS нападений. Таким способом вы сообщаете, что вы не защищены от такого рода нападений и не сможете отразить DDoS.
Они еще не знают про способ закрыть анонс по bgp...

http://www.google.ru/search?hl=ru&lr=la ... os&spell=1

Давайте говорить предметно. Большинство отписавшихся здесь даже примерно не представляют, о чем говорят. Без обид. :drinks: