OVH Community, your new community space.

DDoS, CPU firewall 100%


Ros
08/03/2013, 22:58
Cita Publicado inicialmente por nubcake
Hola gente!

No soy realmente un especialista en el tema de networking, pero entiendo unas cuantas cosas. Cuando contraté el servidor esperaba ataques DDoS, y lo contraté junto a un firewall ASA 5505 esperando solucionar los problemas. Habiendo dicho esto, es mi primera experiencia con un firewall de hardware, y la verdad no parece tan complicado con tanto GUI.

He estado combatiendo contra estos ataques (gracias a dios, son a intérvalos y no permanentes, así que tengo acceso de vez en cuando), pues mientras el firewall estaba accesible hacía los cambios que creía necesarios. Después tocaba esperar y ver los resultados, cuales han ido más o menos bien, pero ahora no sé cómo progresar.

Este ataque DDoS no pasa de 10mbps, pero es fatal contra mi servidor. Spammea conexiones, y se vuelve inaccesible. Por esa razón limité las conexiones máximas en varios modos, y surge efecto (rechaza paquetes), pero ahora me encuentro con otro problema: la CPU del firewall se pone al 100% y no pasa ni 1 paquete igualmente...

He intendado deshabilitar todas las cosas que veía que podrían consumir CPU (análisis, logging, "call home", etc), pero no he encontrado solución.

La CPU es consumida ~98% por el proceso principal de paquetes (Dispatch Unit)


Server: http://www.ovh.es/servidores_dedicados/eg_64g_ssd.xml
Firewall: 5505 http://www.cisco.com/en/US/products/...omparison.html

fotos: http://imgur.com/a/id46f

config (replace nombres, ips por xxxx. Mucho de esta config vino default de ovh, yo simplemente hice la parte de los protocolos y conexiones maximas)
Código:
Result of the command: "show running-config"

: Saved
:
ASA Version 8.4(2) 
!
firewall transparent
hostname xxxxxxxxxxxx
domain-name ovh.net
enable password xxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxx encrypted
names
dns-guard
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
 switchport access vlan 3
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan2
 nameif outside
 bridge-group 1
 security-level 0
!
interface Vlan3
 nameif inside
 bridge-group 1
 security-level 100
!
interface BVI1
 ip address 192.168.0.1 255.255.255.0 
 ipv6 address xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/56
 ipv6 enable
!
boot system disk0:/asa842-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
 domain-name ovh.net
access-list outside_access_in extended permit tcp any any log disable 
access-list outside_access_in extended permit icmp any any echo log disable 
access-list outside_access_in extended permit icmp any any echo-reply log disable 
access-list outside_access_in extended permit icmp any any log disable 
access-list outside_access_in extended permit icmp any any traceroute log disable 
access-list 0.0.0.0 remark no
access-list 0.0.0.0 standard deny host 0.0.0.0 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
ipv6 route outside xxxx:xxxx:xxxx/0 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
icmp unreachable rate-limit 100 burst-size 10
asdm image disk0:/asdm-645.bin
asdm history enable
arp timeout 14400
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
filter java 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
http server enable
http xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/128 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
 crl configure
telnet timeout 5
ssh xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/128 outside
ssh timeout 15
console timeout 15
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password xxxxxxxxxxxx encrypted privilege 15
username adminovh password xxxxxxxxxxxx encrypted privilege 15
!
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
policy-map outside-policy
 description asd
 class class-default
  set connection conn-max 1000 embryonic-conn-max 20 per-client-max 5 per-client-embryonic-max 1 
!
service-policy outside-policy interface outside
prompt hostname context 
no call-home reporting anonymous
call-home
 contact-email-addr xxxx@xxxx.xxxx
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:4425813e403cdd9e52ae4329608c2c3f
: end
Si alguien tiene alguna idea de cómo solucionarlo, por favor decidmelo
La configuración aparentemente la veo bien, pero antiDDOS no tienes activado en ningún lado, limitas conexiones pero si es SPOOFED eso no sirve de nada.

No domino Firewalls Cisco, trabajo todo el tema del UTM con Huawei pero puedo darle un vistazo si quieres al ataque concreto para ver los paquetes el tipo de ataque y como podemos solucionarlo.

Saludos !

nubcake
07/03/2013, 18:11
Hola gente!

No soy realmente un especialista en el tema de networking, pero entiendo unas cuantas cosas. Cuando contraté el servidor esperaba ataques DDoS, y lo contraté junto a un firewall ASA 5505 esperando solucionar los problemas. Habiendo dicho esto, es mi primera experiencia con un firewall de hardware, y la verdad no parece tan complicado con tanto GUI.

He estado combatiendo contra estos ataques (gracias a dios, son a intérvalos y no permanentes, así que tengo acceso de vez en cuando), pues mientras el firewall estaba accesible hacía los cambios que creía necesarios. Después tocaba esperar y ver los resultados, cuales han ido más o menos bien, pero ahora no sé cómo progresar.

Este ataque DDoS no pasa de 10mbps, pero es fatal contra mi servidor. Spammea conexiones, y se vuelve inaccesible. Por esa razón limité las conexiones máximas en varios modos, y surge efecto (rechaza paquetes), pero ahora me encuentro con otro problema: la CPU del firewall se pone al 100% y no pasa ni 1 paquete igualmente...

He intendado deshabilitar todas las cosas que veía que podrían consumir CPU (análisis, logging, "call home", etc), pero no he encontrado solución.

La CPU es consumida ~98% por el proceso principal de paquetes (Dispatch Unit)


Server: http://www.ovh.es/servidores_dedicados/eg_64g_ssd.xml
Firewall: 5505 http://www.cisco.com/en/US/products/...omparison.html

fotos: http://imgur.com/a/id46f

config (replace nombres, ips por xxxx. Mucho de esta config vino default de ovh, yo simplemente hice la parte de los protocolos y conexiones maximas)
Código:
Result of the command: "show running-config"

: Saved
:
ASA Version 8.4(2) 
!
firewall transparent
hostname xxxxxxxxxxxx
domain-name ovh.net
enable password xxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxx encrypted
names
dns-guard
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
 switchport access vlan 3
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan2
 nameif outside
 bridge-group 1
 security-level 0
!
interface Vlan3
 nameif inside
 bridge-group 1
 security-level 100
!
interface BVI1
 ip address 192.168.0.1 255.255.255.0 
 ipv6 address xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/56
 ipv6 enable
!
boot system disk0:/asa842-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
 domain-name ovh.net
access-list outside_access_in extended permit tcp any any log disable 
access-list outside_access_in extended permit icmp any any echo log disable 
access-list outside_access_in extended permit icmp any any echo-reply log disable 
access-list outside_access_in extended permit icmp any any log disable 
access-list outside_access_in extended permit icmp any any traceroute log disable 
access-list 0.0.0.0 remark no
access-list 0.0.0.0 standard deny host 0.0.0.0 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
ipv6 route outside xxxx:xxxx:xxxx/0 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
icmp unreachable rate-limit 100 burst-size 10
asdm image disk0:/asdm-645.bin
asdm history enable
arp timeout 14400
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
filter java 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
http server enable
http xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/128 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
 crl configure
telnet timeout 5
ssh xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/128 outside
ssh timeout 15
console timeout 15
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password xxxxxxxxxxxx encrypted privilege 15
username adminovh password xxxxxxxxxxxx encrypted privilege 15
!
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
policy-map outside-policy
 description asd
 class class-default
  set connection conn-max 1000 embryonic-conn-max 20 per-client-max 5 per-client-embryonic-max 1 
!
service-policy outside-policy interface outside
prompt hostname context 
no call-home reporting anonymous
call-home
 contact-email-addr xxxx@xxxx.xxxx
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:4425813e403cdd9e52ae4329608c2c3f
: end
Si alguien tiene alguna idea de cómo solucionarlo, por favor decidmelo