OVH Community, your new community space.

routing ICMP


oles@ovh.net
04-28-2010, 02:56 PM
Dobrý den.

V poslední době jsme zaznamenali dramatický nárůst útoků, kterými náš systém trpí. Velikost sítě a počet zákazníků, které hostujeme, to tvoří původ problému.

Existují "němé" alias "triviální" útoky, které už nechce trpět pokaždé, když mají nezbedové dovolenou.

Rozhodli jsme se omezit provoz Internet vs. OVH na úrovni ICMP. Bez omezení na TCP ani UDP (to dá rozum). ICMP se používá k monitorování na internetu a na této úrovni ICMP je to velmi nákladná cesta. Naše routery byly již chráněny asi 7-8 let a odpověděly "někdy" na ICMP. Nyní jsou všechny sítě pod ICMP.

Důsledky:

Pokud svůj server monitorujete zvenčí, můžete dostávat spoustu false-positive zpráv. Řešením je sledovat pouze služby web, smtp nebo dns (tedy TCP/IP) a ne celé ICMP.

Nejedná se o celkem break, ale limit při 512Kbps za spojení mezi "Internet" na "OVH". Proto je vždy možné provést traceroute. Stačí, když server OVH je napaden a útok přichází přes stejné připojení, které používáte, traceroute není dobrý pro útok.

ICMP se neomezuje pouze na vnitřní síti. Právě jsme ochran na připojení mezi "internet" a "OVH". Pouze na okraj provozu sítě, která k nám přichází z Internetu.

Více:
http://travaux.ovh.com/?do=details&id=4140

Je to poslední? Na to se podíváme za 2-3 týdny; počet útoků, že náš systém trpí a pokud se to zbytečné omezení ICMP budeme odstranění této ochrany. Pravděpodobnost je, že tento závěr je nízká.

Tím proti, jsme push Cisco implementuje ji do SRC-3 (velká router, že každý má slyšel) UBRL funkce, které jsou možné pouze na Cisco 6500. Je to hodně dynamické QoS založené NetFlow na dohazovač pro přístup-list a politiky.
To je velmi silný, ale vyžadují pěší tonneur směrovače, které jsou silné v NetFlow. Cisco 6500 není příliš silný v NetFlow. SRC-3 je. Ale funkce není v něm. Každopádně ... pokud jeden den má Inteligentní routery lze provést toto omezení inteligentně.


S pozdravem

Octave