Jump to content
Калькуляторы

странный трафик

Доброго времени суток!

 

Не встречал ли кто нибудь из форумчан, такую проблему:

 

Схема сети internet -> 6509 -> dlink -> dlink

 

В момент проблем за всеми коммутаторами после 6509 появляются потери пакетов, на портах подскакивает трафик до 76 кппс unicast!

 

В момент проблем замечен в tcpdump следующий трафик:

 

12:53:16.465161 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465164 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465167 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

12:53:16.465170 IP 187.33.160.5 > xxx.xxx.xxx.xxx: ICMP 187.33.160.5 udp port 53 unreachable, length 70

 

 

Где xxx.xxx.xxx.xxx внешний ip адрес человека за 6509

Share this post


Link to post
Share on other sites

Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака!

Share this post


Link to post
Share on other sites

Нет, к днс-у этот трафик никакого отношения не иммеет, в момент проблем на 6509 такая ситуация есть arp запись для этого ip (xxx.xxx.xxx.xxx) но нет мака!

сделайте no ip unreacheble - тогда он не будет флудом искать arp при получении каждого пакета - а еще лучше порежте dns внутрь

Share this post


Link to post
Share on other sites

Сделал no ip unreacheble, на одно влане, не помогает!

 

а еще лучше порежте dns внутрь

 

В смысле что бы из сети не уходили днс запросы во вне?

 

Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке!

Share this post


Link to post
Share on other sites

Сделал no ip unreacheble, на одно влане

 

Вообще бестпрактис no ip unreac / no ip redirect на всех интерфейсах. Вообще.

 

Я так понимаю что dns тут не при чем, это просто icmp сообщение от внешнего хоста нашему, о том что 53 порт на нем не доступен, сообщение может меняться, постоянно только одно это обязательно icmp сообщение об ошибке!

 

Да его просто ддосят, причем еще по-детски. Дайте ему другой ип а этот в блекхол, всего делов-то.

Все же вернусь к этой точке зрения. Совсем не внимательный стал на праздники :)

Edited by DVM-Avgoor

Share this post


Link to post
Share on other sites

Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен...

Share this post


Link to post
Share on other sites

Участвуешь в ддосе, у себя на сети я тоже сталкивался с этим ip адресом, на каймановых островах что то завалить пытаются.

Share this post


Link to post
Share on other sites

Всем спасибо за ответы!

 

Нет это точно был не ддос, потому что трафик то по идее валидный, просто он как то странно обрабатывался dlink-ом. Если смотреть на dlink'e то этот трафик и правда юникаст, но он лился во все порты!

 

Дело было не в самом трафике а видимо в пропадании маков с 6509!

 

Unknown unicast flood за фильтровать. Команду не помню, но функционал распространенный. Ещё можно увеличить время жизни мак и уменьшить arp до 5 минут - сейчас наверное не ограничен...

 

И правда уменьшили время жизни арпов на 6509 и лаги пропали, у нас стоял 400 уменьшили до 300, просто там очень большой сегмент!

Edited by deniska00

Share this post


Link to post
Share on other sites

Жесть...

 

Дорогой топикстартер, про IP в широковещательных сетях почитайте что-ли. Ну, и нафига ваше ARP нужен.

Share this post


Link to post
Share on other sites

Раз тут пошла такая тема за странности, то спрошу: появился странный входящий трафик к web-серверам, летит только SYN

ip-адреса разные

178.175.140.41:10003
185.25.116.56:10003
185.25.116.96:10003
213.155.22.171:10003
213.155.22.172:10003
213.155.22.174:10003
37.187.241.40:10003
5.196.13.22:10003
5.196.17.28:10003
78.47.114.218:10003
78.47.143.166:10003
78.47.148.220:10003
78.47.196.106:10003
78.47.247.204:10003
88.198.106.154:10003
88.198.181.168:10003
88.198.247.140:10003
92.222.30.35:10003
92.222.30.36:10003
92.222.30.37:10003
92.222.30.39:10003

 

но вот исходящий порт всегда неизменный 10003.

Что это такое?

Share this post


Link to post
Share on other sites

Что это такое?

 

syn-flood если много. Скан-боты, если мало.

 

Порты, кстати меняются регулярно. Или для разных арендаторов разные ботоводами ставятся.

 

Есть ещё "официальные исследователи безопасности". У них в whois оно прописано. Таких чаще всего баню всем блоком. :-)

Share this post


Link to post
Share on other sites

Жесть...

 

Дорогой топикстартер, про IP в широковещательных сетях почитайте что-ли. Ну, и нафига ваше ARP нужен.

 

Это Вы вообще к чему? Проблема заключалась в следующем:

на 6509 остается ARP запись, к маку который с нее уже пропал, видимо из за этого он отправлял трафик во все интерфейсы!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.