Перейти к содержимому
Калькуляторы

~pavel~

Пользователи
  • Публикации

    20
  • Зарегистрирован

  • Посещение

О ~pavel~

  • Звание
    Абитуриент
  1. Что именно nfdump не умеет? вот пример с NAT трансляциями: ./nfdump -T -r /var/data/nfsen/profiles-data/live/localhost/2016/01/01/nfcapd.201608180100 "proto tcp and dst port 443" -c 5 Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2016-01-01 00:59:59.773 DELETE Ignore TCP 172.23.4.3:54348 -> 93.0.201.36:443 X.Y.252.12:54348 -> 93.0.201.36:443 0 0 2016-01-01 00:59:59.806 CREATE Ignore TCP 172.23.0.146:65162 -> 7.240.171.23:443 X.Y.252.8:65162 -> 7.240.171.23:443 0 0 2016-01-01 00:59:59.971 CREATE Ignore TCP 172.23.2.21:48311 -> 13.252.90.202:443 X.Y.252.10:48311 -> 13.252.90.202:443 0 0 2016-01-01 01:00:00.235 DELETE Ignore TCP 172.23.3.19:55707 -> 154.225.152.208:443 X.Y.252.11:55707 -> 154.225.152.208:443 0 0 2016-01-01 01:00:00.266 CREATE Ignore TCP 172.23.3.115:40615 -> 13.252.90.202:443 X.Y.252.11:40615 -> 13.252.90.202:443 0 0
  2. ISG в Linux

    Ошибок на интерфейсах тоже нет?
  3. Павел, в расчетах ошибся, 1496 байт - это 11968 бит. Соотв-но на MTU 1496 байт чтобы получить 100Мбит/c достаточно будет и 7000 пакетов. В разных DDOS атаках размер пакетов разный, поэтому определять атаки только по числу пакетов очень сложно. Например атаки с NTP серверов идут с размером пакета в районе 400 байт.
  4. ISG в Linux

    Кто-нибудь может подсказать как поменять скорость на сервисе или поменять активный сервис без потерь??? Если сначала деактивировать сервис, а потом активировать другой, то при этом трафик все-таки теряется. есть какой-нибдь еще вариант???
  5. ipt_NETFLOW

    maga ставь nfsen/nfdump
  6. HUAWEI Quidway S2300

    У всех на S2326TP-EI нормально работает мультикаст? У нас через некоторое время на всех S2326TP-EI перестают проходить IGMP report, помогает только reset igmp-snooping group all. Никто не сталкивался с подобной проблемой? software: s2300-v100r006c00spc800.cc patch: s2300_v100r006sph018.pat
  7. accel pptpd

    За 14 дней accel с PPPoE съел 80 метров памяти, это нормально??? У кого как утекает память с PPPoE, можете поделиться? accel-ppp version 3fc000aa67ee38002ec97419a760f23cccd87210 accel-ppp# show stat uptime: 14.06:23:14 cpu: 0% mem(rss/virt): 83980/5156144 kB core: mempool_allocated: 13257433 mempool_available: 256055 thread_count: 12 thread_active: 1 context_count: 566 context_sleeping: 0 context_pending: 0 md_handler_count: 1651 md_handler_pending: 0 timer_count: 1082 timer_pending: 0 sessions: starting: 4294967114 active: 543 finishing: 183 pppoe: starting: 0 active: 544 delayed PADO: 0 recv PADI: 1316609 drop PADI: 0 sent PADO: 1310050 recv PADR(dup): 601473(40) sent PADS: 601473 filtered: 0 radius(1, 172.19.19.21): state: active fail count: 0 request count: 0 queue length: 0 auth sent: 572786 auth lost(total/5m/1m): 2050/0/0 auth avg query time(5m/1m): 2707/2683 ms acct sent: 62949 acct lost(total/5m/1m): 65/0/0 acct avg query time(5m/1m): 3/3 ms interim sent: 5051093 interim lost(total/5m/1m): 1649/0/0 interim avg query time(5m/1m): 7/7 ms
  8. ipt_NETFLOW

    Работает, спасибо!
  9. ipt_NETFLOW

    Кто знает как nfdump заставить понимать NAT Addr:Port??? Посмотрел с помощью wireshark ipt_NETFLOW шлет порты правильно, а nfdump вместо Src NAT IP Addr:Port Dst NAT IP Addr:Port выдает X-Src IP Addr:Port X-Dst IP Addr:Port /usr/local/bin/nfcapd -w -D -p 30009 -u netflow -B 200000 -S 1 -P /var/data/nfsen/var/run/p30005.pid -z -I Nat -T nel -l /var/data/nfsen/profiles-data/live/Nat /usr/local/bin/nfdump -r nfcapd.201312041435 -onel "nat event add" | more Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 2013-12-04 14:35:00.012 ADD TCP 172.23.193.12:62645 -> 95.30.82.236:33848 34.52.73.161:1 -> 95.30.82.236:68 2013-12-04 14:35:00.012 ADD UDP 172.23.202.217:6881 -> 178.64.209.167:6881 34.52.73.187:1 -> 178.64.209.167:68 2013-12-04 14:35:00.012 ADD TCP 172.23.212.51:61807 -> 89.218.201.202:43453 34.52.73.166:1 -> 89.218.201.202:56 2013-12-04 14:35:00.016 ADD TCP 172.23.192.248:50505 -> 84.52.66.23:443 34.52.73.191:1 -> 84.52.66.23:68 2013-12-04 14:35:00.016 ADD TCP 172.23.220.182:60805 -> 46.162.255.73:46476 34.52.73.182:1 -> 46.162.255.73:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57037 -> 82.131.58.247:21042 34.52.73.164:1 -> 82.131.58.247:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57039 -> 5.164.179.104:6881 34.52.73.164:1 -> 5.164.179.104:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57038 -> 193.34.160.56:28322 34.52.73.164:1 -> 193.34.160.56:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57040 -> 85.194.226.97:16881 34.52.73.164:1 -> 85.194.226.97:56
  10. ipv4 аренда/продажа

    куплю PI /23, /24, предложения - в личку
  11. HUAWEI Quidway S2300 mac spoofing

    стоит V100R006C03, он получается старее чем V100R006C03SPC100?
  12. HUAWEI Quidway S2300 mac spoofing

    К сожалению на V100R006SPH013 такой команды нет, [host]mac? mac-address mac-authen mac-forced-forwarding mac-spoofing-defend
  13. Кто как борется с mac spoofing на Huawei S2300? Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента. есть такой конфиг acl name forbidden_mac 4001 rule 20 permit source-mac 000c-42a4-26ae # traffic classifier forbidden_traffic operator or if-match acl forbiden_mac # traffic behavior deny deny # traffic policy user-side classifier forbiden_traffic behavior deny # dhcp enable dhcp snooping enable dhcp server detect # vlan 912 dhcp snooping trusted interface GigabitEthernet0/0/1 # interface Ethernet0/0/5 description Home-dhcp-user port hybrid pvid vlan 912 port hybrid untagged vlan 912 999 mac-limit maximum 3 stp edged-port enable stp point-to-point force-false traffic-policy user-side inbound dhcp snooping enable dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120 dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120 dhcp snooping alarm dhcp-reply enable threshold 120 dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 200 arp anti-attack check user-bind check-item ip-address ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 unicast-suppression packets 32 multicast-suppression packets 8 broadcast-suppression packets 8 Все замечательно работает, есть защита от подмены ip, arp, даже с поддельным маком коммутатор пакеты не форвардит, но вот одна беда, мак этот коммутатор записывает в таблицу коммутации. <ChangeMe>display mac-address Ethernet 0/0/5 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 000c-42a4-26ae 912/- Eth0/0/5 dynamic Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?
  14. huawei ne 40

    Вот что мне удалось обнаружить при копировании на NE40: В конфиге для передаи на роутер перевод строки надо делать 2 байтами: #0D#0A, а не #0A. При использовании hwCfgOperateTable в названии файла обязательно надо ставить расширение, иначе выпадает ошибка "The set value is illegal or unsupported in some way", при копировании с фтп обязательно надо указать login и password.
  15. ISG в Linux

    Я думаю подразумевается чтобы ISG могла оперировать не одиночными ip а еще и сетями. Чтобы можно было открыть сессию привязав ее к сети, соответственно и аккаунтинг на всю сеть.