oles@ovh.net
28-04-10, 15:56
Hallo,
Onlangs zagen we een dramatische toename
van de aanvallen die ons systeem lijdt. Het netwerk en de grootte van
het bedrag van de klanten dat is de thuisbasis van de "oorsprong" van
dit probleem.
Er zijn aanvallen "domme" Alias "triviale" dat er geen
meer wil om te lijden wanneer kinderen
in vakantie.
We hebben besloten om het verkeer te beperken "internet" naar
"" OVH op de ICMP laag. Geen beperking van
het TCP-of UDP (gelukkig!). De ICMP laag dient de
"monitor" het materiaal op het net en op dit niveau
is heel duur om ICMP-router. Onze routers werden
reeds beschermd voor 7-8 jaar en reageerde: "soms"
aan ICMP. Nu zijn alle netwerk stuit
in de ICMP.
De consequenties:
Als u sensoren die gebouwen bewaken van uw
OVH op ICMP in van buiten ons
netwerk, ontvangt u mogelijk veel "valse positieve".
De oplossing is om WEB monitor type diensten,
SMTP of DNS, vervolgens op TCP / UDP-server en niet de wereldwijde
ICMP.
Het is niet een totale breuk, maar een limiet
van 512Kbps per aansluiting tussen de "Internet" wormen " OVH. Dus
is het altijd mogelijk om de traceroute. Net toen
OVH wordt aangevallen en de aanval komt via dezelfde
link die u gebruikt, de traceroute is mooi tijdens
de aanval.
De ICMP-verkeer is niet beperkt binnen het netwerk.
We hebben de beschermingen alleen op de verbindingen
tussen de "Internet" en "OVH". Alleen op de rand van het
netwerkverkeer dat ons komt om van het internet.
Meer:
http://travaux.ovh.com/?do=details&id=4140
Is dit de definitieve? We zullen kijken naar 2-3 weken
het aantal aanvallen dat ons systeem lijdt en als het dan
niet goed om ICMP te beperken zullen wij de bescherming van verwijder deze.
De kans is dat deze conclusie laag is.
Door nadelen, duwen we Cisco zodat zij de werktuigen
SRC-3 (de grote router dat iedereen heeft gehoord)
UBRL functies die alleen mogelijk zijn op de
Cisco 6500. Het is een heel dynamische QoS gebaseerd
op NetFlow Matcher voor de toegang-lijst en beleid.
Dit is zeer krachtig, maar vereisen wel lopen tonneur
routers die krachtig zijn in NetFlow. Cisco 6500
is niet erg sterk in NetFlow. SRC-3 is. Maar de
functie is er niet in. Hoe dan ook ... als het een dag
kunnen we intelligente routers die beperking
intelligent. Momenteel doen we met de
manieren van de randen
Groeten
Octave
Onlangs zagen we een dramatische toename
van de aanvallen die ons systeem lijdt. Het netwerk en de grootte van
het bedrag van de klanten dat is de thuisbasis van de "oorsprong" van
dit probleem.
Er zijn aanvallen "domme" Alias "triviale" dat er geen
meer wil om te lijden wanneer kinderen
in vakantie.
We hebben besloten om het verkeer te beperken "internet" naar
"" OVH op de ICMP laag. Geen beperking van
het TCP-of UDP (gelukkig!). De ICMP laag dient de
"monitor" het materiaal op het net en op dit niveau
is heel duur om ICMP-router. Onze routers werden
reeds beschermd voor 7-8 jaar en reageerde: "soms"
aan ICMP. Nu zijn alle netwerk stuit
in de ICMP.
De consequenties:
Als u sensoren die gebouwen bewaken van uw
OVH op ICMP in van buiten ons
netwerk, ontvangt u mogelijk veel "valse positieve".
De oplossing is om WEB monitor type diensten,
SMTP of DNS, vervolgens op TCP / UDP-server en niet de wereldwijde
ICMP.
Het is niet een totale breuk, maar een limiet
van 512Kbps per aansluiting tussen de "Internet" wormen " OVH. Dus
is het altijd mogelijk om de traceroute. Net toen
OVH wordt aangevallen en de aanval komt via dezelfde
link die u gebruikt, de traceroute is mooi tijdens
de aanval.
De ICMP-verkeer is niet beperkt binnen het netwerk.
We hebben de beschermingen alleen op de verbindingen
tussen de "Internet" en "OVH". Alleen op de rand van het
netwerkverkeer dat ons komt om van het internet.
Meer:
http://travaux.ovh.com/?do=details&id=4140
Is dit de definitieve? We zullen kijken naar 2-3 weken
het aantal aanvallen dat ons systeem lijdt en als het dan
niet goed om ICMP te beperken zullen wij de bescherming van verwijder deze.
De kans is dat deze conclusie laag is.
Door nadelen, duwen we Cisco zodat zij de werktuigen
SRC-3 (de grote router dat iedereen heeft gehoord)
UBRL functies die alleen mogelijk zijn op de
Cisco 6500. Het is een heel dynamische QoS gebaseerd
op NetFlow Matcher voor de toegang-lijst en beleid.
Dit is zeer krachtig, maar vereisen wel lopen tonneur
routers die krachtig zijn in NetFlow. Cisco 6500
is niet erg sterk in NetFlow. SRC-3 is. Maar de
functie is er niet in. Hoe dan ook ... als het een dag
kunnen we intelligente routers die beperking
intelligent. Momenteel doen we met de
manieren van de randen
Groeten
Octave