Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Новинка
Распродажа
Новости
Доставка
Оплата
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Настройка
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    Форум
    RouterOS
    Защита от DDOS BGP [автоматизировать комьюнитиз?].

    Защита от DDOS BGP [автоматизировать комьюнитиз?].

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Защита от DDOS BGP [автоматизировать комьюнитиз?]., RouterOS
     
    nuskope
    Guest
    #1
    0
    11.08.2013 00:06:00
    Привет всем,

    В последнее время у нас участились DDOS-атаки. К счастью, наши провайдеры поддерживают группы BGP типа «чёрная дыра», так что мы можем объявлять BGP community для IP-адреса /32, и он отправляется в чёрную дыру. К сожалению, это ручной процесс, поэтому нам сначала нужно обнаружить атаку, найти IP-адрес, подвергшийся атаке, «поджарив» интерфейс, затем добавить IP 111.111.111.1 в сеть BGP, а потом добавить правила в наш фильтр маршрутизатора, чтобы установить для этого IP-адреса BGP community 17498:666.  Я думал, можно ли автоматизировать этот процесс. Я знаю, что мы можем автоматизировать вещи для цепочки брандмауэра, но можем ли мы это сделать для таблиц маршрутизации?
     
     
     
    amt
    Guest
    #2
    0
    13.06.2016 09:31:00
    Hey everyone! 👋

    Just wanted to share a little update on the project. Things are moving along nicely, but we've hit a few snags here and there. 😅 No biggie, though! We're tackling them one by one.

    Here's a quick rundown:

    *   **Frontend:** Almost done! Just a few tweaks to the UI and responsiveness. 🚀
    *   **Backend:** Still working on the API integrations. It's a bit of a beast, but we're making progress. 💪
    *   **Testing:** QA is diligently crushing bugs as they pop up. 🐛➡️✅
    *   **Documentation:** I’m starting to put together some preliminary docs. Don’t expect a masterpiece just yet, but it's better than nothing! 📝

    **Big shoutout** to @Sarah for her amazing work on the user authentication module – it's a lifesaver! 🙌

    **Remember to** submit your timesheets by Friday! ⏰

    **Link to the project board:** https://trello.com/b/your-project-board/your-project-id

    Let's keep the momentum going! 🎉

    #projectupdate #frontend #backend #testing #documentation #teamwork
     
     
     
    shaoranrch
    Guest
    #3
    0
    25.06.2016 00:29:00
    На данный момент в RouterOS нет встроенного автоматического решения. Что можно сделать, так это использовать скрипты вместе с правилами брандмауэра, чтобы пытаться обнаружить DDoS-атаку и определить, откуда она идёт, и добавлять IP-адреса в списки адресов, чтобы потом ссылаться на них в своих скриптах. Проблема в том, как понять, это атака или обычный трафик? Существует скрипт, созданный chupaka, который используется для обнаружения SYN-атак и добавления атакующих и подвергшихся атаке в списки адресов, но вам, вероятно, потребуется что-то большее, чем это. Надеюсь, это ответило на ваш вопрос.
     
     
     
    amt
    Guest
    #4
    0
    25.06.2016 07:27:00
    У тебя есть ещё скрипт для использования DDoS?
     
     
     
    Cha0s
    Guest
    #5
    0
    26.06.2016 12:15:00
    Попробуйте FastNetMon с ExaBGP. https://github.com/pavel-odintsov/fastnetmon Я настроил это на виртуальной машине, и сконфигурировал мои граничные маршрутизаторы на отправку в FastNetMon данных NetFlow. (IP > Traffic Flow в RouterOS). FastNetMon постоянно оценивает скорость пакетов и скорость передачи, и если превышены настроенные пороги, он может объявлять в ExaBGP /32, подверженные атаке, с нужными BGP Community (или сообществами). ExaBGP имеет сессию BGP с граничными маршрутизаторами, которые в свою очередь рекламируют эти /32 маршруты к ним, которые в свою очередь рекламируют /32 маршруты к upstream ISP, которые на основе BGP community зачеркивают эти IP-адреса. Время, в течение которого IP-адрес останется зачеркнутым, можно настроить. FastNetMon обнаруживает атаку примерно за 40-60 секунд. Это ограничение NetFlow (требуется некоторое время, чтобы экспортировать потоки из маршрутизатора в коллектор). Используя другие методы, можно обнаружить атаки гораздо быстрее. Полное зеркалирование трафика в FastNetMon (и, например, используя метод захвата PF_RING ZC) позволяет обнаружить и заблокировать атаку за 1-3 секунды. Как только FastNetMon обнаруживает атаку, объявления о зачеркивании займут всего несколько секунд, чтобы распространиться до upstream ISP (это происходит так же быстро, как и любое объявление BGP). Вы также получаете оповещения по электронной почте при обнаружении атаки с информацией об атаке (например, UDP flood, TCP syn flood и т. д.) и IP-адресе, подвергшемся атаке. В результате получается полностью автоматизированное решение по смягчению последствий DDoS-атак, и все это с открытым исходным кодом!
     
     
     
    Cha0s
    Guest
    #6
    0
    26.06.2016 12:17:00
    И ещё вот эта презентация по теме: http://mum.mikrotik.com/presentations/EU16/presentation_2960_1456752556.pdf
     
     
     
    shaoranrch
    Guest
    #7
    0
    26.06.2016 22:19:00
    Отличная информация, спасибо, что поделились.
     
     
     
    ropebih
    Guest
    #8
    0
    10.09.2016 15:12:00
    Есть большая проблема с fastnetmon и ROS, потому что трафик ROS идет слишком медленно и требуется больше минуты для обнаружения DDoS. С sflow это занимает 1-2 секунды, но Mikrotik не поддерживает sflow.
     
     
     
    Cha0s
    Guest
    #9
    0
    28.09.2016 11:43:00
    Я согласен. Проблема в том, что время ожидания активных потоков нельзя установить ниже 1 минуты. Значит, длинные активные потоки (например, загрузка больших файлов) будут экспортироваться каждую минуту, и коллектор будет измерять всплески байт/с и пакетов/с, из-за чего FastNetmon будет выдавать ложные срабатывания. Не уверен, является ли минимальное время ожидания активного потока в 60 секунд ограничением протокола или просто ограничением ROS. Бросив взгляд на RFC NetFlow v9, я не нашел явного упоминания этого ограничения, но я могу ошибаться. Кстати, в последней версии FastNetmon добавился плагин/скрипт для Mikrotik, который будет добавлять черные дыры через ROS API вместо использования ExaBGP для отправки маршрутов в ROS.
     
     
     
    shaoranrch
    Guest
    #10
    0
    30.07.2017 18:37:00
    Привет, я собираюсь реанимировать эту тему, потому что в последнее время я ищу систему автоматического смягчения DDoS-атак, вместо RTBH (реагировать сразу, что есть, там есть), я хочу активировать использование центров очистки для подозреваемых /24, подвергающихся DDoS-атакам. Я тестирую FastNetMon в производственной среде, которая по сути состоит только из серверов, но мне кажется, что он определяет некоторые вещи как положительные атаки, когда на самом деле ими не являются. Тест проводится на одном из граничных маршрутизаторов: CCR 1036-12G-4S на BFO 6.38.7. Конфигурация Traffic Flow: /ip traffic-flow
    set active-flow-timeout=1m cache-entries=4M enabled=yes interfaces="sfp1,sfp2" Я использую Netflow v9. Последний FastNetMon, все настроено по умолчанию, кроме: average_calculation_time = 30
    process_outgoing_traffic = off Сначала среднее время я изменил, прочитав и посмотрев документацию для этого ПО, оно было установлено на 5, и каждый IP-адрес, который у меня был, был определен как либо подвергающийся DDoS-атаке, либо как DDoS-атакующий. После изменения это прекратилось. Я также отключил process_outgoing_traffic, потому что в настоящее время я обеспокоен только входящими атаками. В общем, он начал определять UDP Flood-атаки с сообщением о высокой PPS (свыше 20 000). Я сразу же начал проверять эти вопросы, поскольку он интегрирован со Slack, я проверяю в тот момент, когда получаю уведомление. Я также отслеживаю оба интерфейса через SNMP, используя другую систему, подсчитываю PPS входящие/исходящие каждые 30 секунд, и там ничего не показывает, ни всплеска, ни показателя, который был бы заметно нетипичен или мог бы указывать на DDoS-атаку. На самом деле, проверяя показатели за предыдущий час, все согласованно. Я проверяю каждый показатель, а не предполагаемую PPS, предоставляемую приложением (PRTG, если это важно). Получаю что-то вроде этого: 12:00:00 → 3500000 пакетов 12:00:30 → 3500390 пакетов 12:01:00 → 3500594 пакетов 12:01:30 → 3500720 пакетов 12:02:00 → 3501100 пакетов ← именно здесь срабатывает тревога Эти значения неточные, просто чтобы показать, что изменения действительно небольшие и довольно постоянные, как сообщает PRTG. У вас был подобный опыт? Если да, то удалось ли вам это исправить? Или вы пробовали что-то другое для этого? Кажется, FastNetMon имеет много пользователей в других брендах, таких как Cisco, без проблем при использовании netflow тоже. Заставляет меня задуматься, нет ли проблемы с реализацией netflow в MikroTik.
     
     
     
    Murmaider
    Guest
    #11
    0
    24.09.2017 13:06:00
    Подключите свои ссылки к быстрым 10G-коммутаторам, а затем подключите Mikrotiki к этим коммутаторам. Таким образом, трафик в сеть и из сети проходит через коммутаторы. Настройте зеркалирование портов на портах, подключенных к сети, чтобы зеркалировать на один порт (или несколько, если трафик большой). Купите Wanguard от Andrisoft и используйте Packet Sensors для зеркалированных портов. Это должно позволять обнаруживать и начинать смягчать атаку в течение нескольких секунд. Также это позволит вам включить удаленную очистку от DDoS.
     
     
     
    Cha0s
    Guest
    #12
    0
    24.09.2017 15:08:00
    Да, это рабочее решение, но это пустая трата денег. Нам нужно всё это в стойке, энергопотребление и так далее, только чтобы иметь возможность "подключиться" к твоим каналам связи, чтобы правильно извлекать информацию, необходимую твоему анти-DDoS решению. Вот бы Микротик выпустил маленький 10G коммутатор. Например: CRS106-1C-5S+ – это было бы круто для таких задач! Это было бы (относительно) дёшево, и его можно было бы запихнуть в зад стойки где-то, не занимая ценное место. Если бы Netflow/IPFIX в RouterOS не имели этих особенностей, то всё было бы в порядке с FastNetMon, который бесплатный/открытый и не требует какого-либо специального оборудования в пути данных (кроме экспортера Netflow, конечно). Например, при UDP атаках, FastNetMon обнаруживает атаку примерно за 3 секунды и блокирует её правильно даже с реализацией Netflow в RouterOS. С тех пор у меня не было ложных срабатываний при UDP (для моего типа трафика), потому что нет долгоживущих UDP соединений. Так что эти пакеты атаки экспортируются за 1 секунду (то есть: время ожидания неактивного потока = 1с) и пороги в FastNetMon срабатывают сразу же. Так что на данный момент я практически использую FastNetMon только для смягчения UDP атак (что обычно и происходит). Для TCP атак (например, synflood) это всё ещё ручной процесс для меня…
     
     
     
    tgrand
    Guest
    #13
    0
    26.10.2017 19:21:00
    Анализ трафика просто недостаточно быстр, чтобы обнаруживать большинство DDoS-атак. Мы используем Wanguard от andrisoft. Оптическое волокно от наших каналов связи сначала проходит через оптический разветвитель, и от разветвителя out1 идет к нашему пограничному роутеру, а out2 – к оптическому транспондеру, который Wanguard использует для анализа трафика в реальном времени. Это буквально микросекунды от начала атаки до нашего объявления BGP blackhole. Атаке просто не хватает времени, чтобы нарастить трафик и повлиять на нашу сеть.
     
     
     
    mcesaric
    Guest
    #14
    0
    26.02.2021 11:57:00
    Мы в процессе внедрения Wanguard Sensor (режим зеркалирования пакетов) в связке с MikroTik BGP edge. Будем использовать ExaBGP для объявления черных дыр (/32 RTBH mitigation) с меткой community, а также перенаправления на сторонний центр очистки трафика (/24 префиксов). Застряли с методом перенаправления. Проблема в том, что Wanguard рекламирует маршрут /24, который нам не нужен как активный, но MikroTik не может распространять неактивные маршруты, как это умеют Juniper и Cisco (Juniper: advertise-inactive, Cisco: suppress-inactive). У кого-нибудь есть пример реализации Wanguard + MikroTik? Спасибо.
     
     
     
    method
    Guest
    #15
    0
    17.03.2021 09:38:00
    Vanguard работает почти как FastNetMon. Если хочешь протестировать FNM, просто напиши мне.
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2026 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры