deniska00 Posted January 3, 2015 · Report post Доброго времени суток! Не встречал ли кто нибудь из форумчан, такую проблему: Схема сети internet -> 6509 -> dlink -> dlink В момент проблем за всеми коммутаторами после 6509 появляются потери пакетов, на портах подскакивает трафик до 76 кппс unicast! В момент проблем замечен в tcpdump следующий трафик: 12:53:16.465161 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70 12:53:16.465164 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70 12:53:16.465167 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70 12:53:16.465170 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70 Где xxx.xxx.xxx.xxx внешний ip адрес человека за 6509 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted January 3, 2015 · Report post Дидосят днс? У вас днс снаружи закрыт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
deniska00 Posted January 3, 2015 · Report post Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Smoke Posted January 3, 2015 · Report post Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака! сделайте no ip unreacheble - тогда он не будет флудом искать arp при получении каждого пакета - а еще лучше порежте dns внутрь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
deniska00 Posted January 3, 2015 · Report post Сделал no ip unreacheble, на одно влане, не помогает! а еще лучше порежте dns внутрь В смысле что бы из сети не уходили днс запросы во вне? Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted January 3, 2015 (edited) · Report post Сделал no ip unreacheble, на одно влане Вообще бестпрактис no ip unreac / no ip redirect на всех интерфейсах. Вообще. Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке! Да его просто ддосят, причем еще по-детски. Дайте ему другой ип а этот в блекхол, всего делов-то. Все же вернусь к этой точке зрения. Совсем не внимательный стал на праздники :) Edited January 3, 2015 by DVM-Avgoor Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted January 3, 2015 · Report post Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dIMbI4 Posted January 3, 2015 · Report post Участвуешь в ддосе, у себя на сети я тоже сталкивался с этим ip адресом, на каймановых островах что то завалить пытаются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
deniska00 Posted January 4, 2015 (edited) · Report post Всем спасибо за ответы! Нет это точно был не ддос, потому что трафик то по идее валидный, просто он как то странно обрабатывался dlink-ом. Если смотреть на dlink'e то этот трафик и правда юникаст, но он лился во все порты! Дело было не в самом трафике а видимо в пропадании маков с 6509! Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен... И правда уменьшили время жизни арпов на 6509 и лаги пропали, у нас стоял 400 уменьшили до 300, просто там очень большой сегмент! Edited January 4, 2015 by deniska00 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted January 4, 2015 · Report post Жесть... Дорогой топикстартер, про IP в широковещательных сетях почитайте что-ли. Ну, и нафига ваше ARP нужен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stepashka Posted January 5, 2015 · Report post Раз тут пошла такая тема за странности, то спрошу: появился странный входящий трафик к web-серверам, летит только SYN ip-адреса разные 178.175.140.41:10003 185.25.116.56:10003 185.25.116.96:10003 213.155.22.171:10003 213.155.22.172:10003 213.155.22.174:10003 37.187.241.40:10003 5.196.13.22:10003 5.196.17.28:10003 78.47.114.218:10003 78.47.143.166:10003 78.47.148.220:10003 78.47.196.106:10003 78.47.247.204:10003 88.198.106.154:10003 88.198.181.168:10003 88.198.247.140:10003 92.222.30.35:10003 92.222.30.36:10003 92.222.30.37:10003 92.222.30.39:10003 но вот исходящий порт всегда неизменный 10003. Что это такое? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted January 5, 2015 · Report post Что это такое? syn-flood если много. Скан-боты, если мало. Порты, кстати меняются регулярно. Или для разных арендаторов разные ботоводами ставятся. Есть ещё "официальные исследователи безопасности". У них в whois оно прописано. Таких чаще всего баню всем блоком. :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
deniska00 Posted January 12, 2015 · Report post Жесть... Дорогой топикстартер, про IP в широковещательных сетях почитайте что-ли. Ну, и нафига ваше ARP нужен. Это Вы вообще к чему? Проблема заключалась в следующем: на 6509 остается ARP запись, к маку который с нее уже пропал, видимо из за этого он отправлял трафик во все интерфейсы! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...