Jump to content

странный трафик

deniska00
 Share

Recommended Posts

deniska00

deniska00

Posted
Posted

Доброго времени суток!

 

Не встречал ли кто нибудь из форумчан, такую проблему:

 

Схема сети internet -> 6509 -> dlink -> dlink

 

В момент проблем за всеми коммутаторами после 6509 появляются потери пакетов, на портах подскакивает трафик до 76 кппс unicast!

 

В момент проблем замечен в tcpdump следующий трафик:

 

12:53:16.465161 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465164 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465167 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465170 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

 

 

Где xxx.xxx.xxx.xxx внешний ip адрес человека за 6509

deniska00

deniska00

Posted
  • Author
Posted

Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака!

Smoke

Smoke

Posted
Posted

Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака!

сделайте no ip unreacheble - тогда он не будет флудом искать arp при получении каждого пакета - а еще лучше порежте dns внутрь

deniska00

deniska00

Posted
  • Author
Posted

Сделал no ip unreacheble, на одно влане, не помогает!

 

а еще лучше порежте dns внутрь

 

В смысле что бы из сети не уходили днс запросы во вне?

 

Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке!

DVM-Avgoor

DVM-Avgoor

Posted
Posted (edited)

Сделал no ip unreacheble, на одно влане

 

Вообще бестпрактис no ip unreac / no ip redirect на всех интерфейсах. Вообще.

 

Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке!

 

Да его просто ддосят, причем еще по-детски. Дайте ему другой ип а этот в блекхол, всего делов-то.

Все же вернусь к этой точке зрения. Совсем не внимательный стал на праздники :)

Edited by DVM-Avgoor
dmvy

dmvy

Posted
Posted

Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен...

deniska00

deniska00

Posted
  • Author
Posted (edited)

Всем спасибо за ответы!

 

Нет это точно был не ддос, потому что трафик то по идее валидный, просто он как то странно обрабатывался dlink-ом. Если смотреть на dlink'e то этот трафик и правда юникаст, но он лился во все порты!

 

Дело было не в самом трафике а видимо в пропадании маков с 6509!

 

Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен...

 

И правда уменьшили время жизни арпов на 6509 и лаги пропали, у нас стоял 400 уменьшили до 300, просто там очень большой сегмент!

Edited by deniska00
stepashka

stepashka

Posted
Posted

Раз тут пошла такая тема за странности, то спрошу: появился странный входящий трафик к web-серверам, летит только SYN

ip-адреса разные

178.175.140.41:10003
185.25.116.56:10003
185.25.116.96:10003
213.155.22.171:10003
213.155.22.172:10003
213.155.22.174:10003
37.187.241.40:10003
5.196.13.22:10003
5.196.17.28:10003
78.47.114.218:10003
78.47.143.166:10003
78.47.148.220:10003
78.47.196.106:10003
78.47.247.204:10003
88.198.106.154:10003
88.198.181.168:10003
88.198.247.140:10003
92.222.30.35:10003
92.222.30.36:10003
92.222.30.37:10003
92.222.30.39:10003

 

но вот исходящий порт всегда неизменный 10003.

Что это такое?

snvoronkov

snvoronkov

Posted
Posted

Что это такое?

 

syn-flood если много. Скан-боты, если мало.

 

Порты, кстати меняются регулярно. Или для разных арендаторов разные ботоводами ставятся.

 

Есть ещё "официальные исследователи безопасности". У них в whois оно прописано. Таких чаще всего баню всем блоком. :-)

deniska00

deniska00

Posted
  • Author
Posted

Жесть...

 

Дорогой топикстартер, про IP в широковещательных сетях почитайте что-ли. Ну, и нафига ваше ARP нужен.

 

Это Вы вообще к чему? Проблема заключалась в следующем:

на 6509 остается ARP запись, к маку который с нее уже пропал, видимо из за этого он отправлял трафик во все интерфейсы!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.