yKpon

на центосе что стоит в разрыв делаю на форвард DROP, трафик останавливается, netflow падает не до нуля, а до 2.5 мбит, его чем то можно посмотреть? п.ы. интересный трафик 18:42:44.249093 IP 146.120.196.105.38743 > 146.120.132.168.23: Flags , seq 2621980490, win 14600, length 0 18:42:44.249095 IP 92.38.90.4.40801 > 102.20.17.64.23: Flags , seq 2379197436, win 14600, options [mss 1440], length 0 18:42:44.249100 IP 92.38.90.4.16524 > 48.126.8.111.23: Flags , seq 2007378605, win 14600, options [mss 1440], length 0 18:42:44.249103 IP 146.120.196.84.24268 > 120.233.168.204.23: Flags , seq 860817711, win 14600, options [mss 1440], length 0 18:42:44.249108 IP 92.38.90.4.40756 > 110.26.182.15.23: Flags , seq 4270425346, win 14600, options [mss 1440], length 0 18:42:44.249113 IP 146.120.196.84.9046 > 122.164.219.97.23: Flags , seq 777768059, win 14600, options [mss 1440], length 0 18:42:44.249222 IP 146.120.196.9.51202 > 92.223.32.83.32818: UDP, length 24 18:42:44.249227 IP 146.120.196.33.58294 > 64.233.165.100.443: UDP, length 1350 18:42:44.249233 IP 146.120.196.105.6909 > 146.120.142.228.23: Flags , seq 3931880347, win 14600, length 0 18:42:44.249236 IP 146.120.196.74.52116 > 61.46.5.206.23: Flags , seq 1314296073, win 14600, length 0 18:42:44.249240 IP 146.120.196.84.61509 > 40.85.31.4.23: Flags , seq 688186413, win 14600, options [mss 1440], length 0 18:42:44.249244 IP 92.38.90.4.40361 > 170.31.79.126.23: Flags , seq 1544301093, win 14600, options [mss 1440], length 0 18:42:44.249250 IP 146.120.196.137.46839 > 64.233.165.113.443: Flags [FP.], seq 1672494678:1672494709, ack 41528255, win 797, options [nop,nop,TS val 8249727 e$ 18:42:44.249255 IP 92.38.90.4.27321 > 145.38.94.74.23: Flags , seq 2817479736, win 14600, options [mss 1440], length 0 18:42:44.249261 IP 188.130.250.160.41968 > 171.33.253.59.54058: Flags [S.], seq 499483239, ack 2294973756, win 8192, options [mss 1440,nop,wscale 8,nop,nop,sac$ 18:42:44.249264 IP 146.120.196.84.32493 > 49.89.193.103.23: Flags , seq 1656739041, win 14600, options [mss 1440], length 0 18:42:44.249267 IP 146.120.196.84.1849 > 165.79.83.247.23: Flags , seq 259675460, win 14600, options [mss 1440], length 0 18:42:44.249271 IP 146.120.196.225.59552 > 84.18.120.74.7486: Flags , seq 3887092492, win 8192, options [mss 1440,nop,wscale 8,sackOK,TS val 222402 ecr 0], $ 18:42:44.249357 IP 146.120.196.105.3468 > 93.102.40.221.8291: Flags , seq 2483182592, win 14600, length 0 18:42:44.249359 IP 146.120.196.105.11625 > 123.107.204.185.8291: Flags , seq 2642494043, win 14600, length 0 18:42:44.249361 IP 146.120.196.225.59553 > 145.255.169.8.61047: Flags , seq 3837567053, win 8192, options [mss 1440,nop,wscale 8,sackOK,TS val 222402 ecr 0]$ 18:42:44.249365 IP 146.120.196.105.24059 > 141.103.187.174.8291: Flags , seq 4027363061, win 14600, length 0 18:42:44.249492 IP 188.130.250.229.27005 > 46.174.55.175.27015: UDP, length 27 18:42:44.250286 IP 146.120.196.183.52109 > 31.13.72.53.443: Flags [.], ack 485012890, win 1445, options [nop,nop,TS val 1696558 ecr 2673100485,nop,nop,sack 1 {$ 18:42:44.250718 IP 146.120.197.30.9256 > 185.113.36.135.43644: UDP, length 106 18:42:44.250730 IP 146.120.197.42.43802 > 27.188.24.132.23: Flags , seq 3575512891, win 14600, length 0 18:42:44.250735 IP 146.120.197.42.15521 > 82.205.254.143.23: Flags , seq 538793411, win 14600, length 0 18:42:44.250738 IP 146.120.197.42.5439 > 88.178.212.151.23: Flags , seq 4054436599, win 14600, length 0 жирным не мои адреса, как они попали? проксей нет а вот не жирным мои пулы, никакой уязвимости не было в роутерос недавно? абоненты мои тики в основном, их сотни

говорю же перед тиком в разрыв стоит центос-7

здесь похоже только мастера решение проблем в лоб как тогда "не нормальное оборудование" хорошо работало год до прошлой субботы? лучше если кто знает дайте совет как правильно посмотреть трафик и найти в чём причина, может вообще банально ddos

@NiTr0 судя вашей логике этот негодяй как включился в прошлую субботу и теперь вы отключаясь никогда будет навечно ложить сеть? я уверен это не верная версия, дело в чём то другом P.S. сейчас идёт 120 мегабит, pps 19к, нетфлоу 4 мегабита

выходит север на центосе в таких случаях тоже всегда складывается? у меня тарифы 3-5-7м

рррое нет на нём правил не много

@adron2 отключаю Traffic Flow и трафик падает сразу на биллинг https://gyazo.com/44d339d0eaa939c3245ac4b670c47fec

плюсую, судя по торчу глядя им на аплинк у меня 30 мегабит на вход, а по факту около 450, в общем торч не панацея пытался через trafshow что-то увидеть и отсортировать, но особо не понял

нет, абонентам адреса белые наты есть но для служебных целей то есть потолок произошёл внезапно? в выходной в субботу резко выросла нагрузка на 30% на всё, на ccr и на сервер фильтрации

может в не pps тогда дело, в разы вырос трафик netflow, с чего бы?

pps сейчас 50к на даун и 40к на ап, думаю это много аплинк 500 мегабит

@VolanD666 ну так посоветуйте как посмотреть! как выяснить какой именно трафик "паразитный"?

@alibek не пойму, кактус умеет?

@alibek по трафику есть, pps нет =(

24 марта около 17 часов плавно выросла нагрузка на узел, в ядре CCR1009-7G-1C-1S+, нагрузка на проц выросла с обычных 40-50% до 70-80%, появились потери внутри сети 2-3%, и случайно но заметил что плавно вырос netflow трафик на биллинг, с обычных 1-3 мегабит стал 7-10, в коллекторе стоит правило all, льёт всё до ядра аплоад проходит через centos с фильром nfqfilter и там тоже выросла нагрузка по графикам вышеописанных ресурсов это произошло одновременно предполагаю что идёт мощный флуд пакетами, но найти не могу, через torch на тике толком не могу посмотреть, общий трафик порядка 450 мегабит как можно найти? через iptraf толком не смог ничего отсортировать и понять спасибо на тычёк не смотрите, эти лились бекапы график ломаный это я нетфлоу отключал/включал

так какие же это пропуски, если я захожу на якобы не заблокированные url-ы, а они наблокированные это глюк работы ревизора

nfqfilter

по отчётам ревизора около 150-200 пропусков, я на любой урл захожу и там моя страничка с блокировкой, ну как так то? как тут нулю быть =))

вздрючили за пропуски, подвис один скрипт (мой косяк), в общем по протоколу я не осуществлял блокировку 10 url страниц в течении 37 секунд, суд присудил 15 тысяч (я ИП), собираюсь подавать на апилляцию есть ли официальный документ по поводу <1% допуск? совсем уже в доску охренели

@Firsa ну на худой конец если не мотоблок купим трактор старенький =)) желание есть и большое! вы на какую глубину пытались заглубить? p.s. о! я не один такой интересно чем закончился этот пионер проект =)

ОГЦ 4 волокна 21.30р за метр Трансвок ОКП по 12 рублей =)) http://lanset.ru/okp-2sp---2ts05kn-kruglyy/ неужели он не будет нормально лежать? местность сельская, никаких построек трассу по gps привяжем, маркеры дорого объём для начала 10 км уложить, если всё будет хорошо пойдём дальше =)) глубину то планируем 20 сантиметров, неужели 17 сильный мотоблок по протащит? P.S. сегодня сварили вот такой экспонат внизу горизонтальный уголок, для кабеля прикрепим трубку металлопласт на 16, внизу завернём её в горизонтальное положение

@agent2011 благодарю за столь подробный ответ свитчи DGS-1100-05 (08) пол часа назад самопроизвольно снова посыпалась сеть, на одном доступно свитче, который в зоне паражения на данный момент 800 маков

@Saab95 когда тепло конечно =) ждём весны про опилки хорошая идея, для укладки планируем сварить компактный кабелеукладчик к мотоблоку

ух, понаписали =)) в принципе про дроп стало белее менее ясно, исключаем его приоритет падает на диэлектрик, т.к. грозы у нас бывают и сильные заинтересовал кабель ОКЦ http://lanset.ru/okts-1kn/ кевлар даст дополнительную мягкость, интересно какой диаметр модуля? ещё варианты: http://lanset.ru/okp-2sp---2ts05kn-kruglyy/ http://lanset.ru/okdk-2d-1kn/ повторюсь проект стопроцентный колхоз, который имеет право на жизнь, нет и не будет ни проекта, ни согласований ни с кем! глубину залегания планируем 15-20 сантиметров

@Vasmer просто в грунт что подразумеваете? 1.2м? объясните в чём провальная идея