Jump to content
Калькуляторы

Найти источник трафика

Последние несколько дней наблюдаю на графике аплинка короткие всплески трафика (5-10 минут) на весь канал (в "полку").

Почти все сервера подключены через Cisco 3750E, на его портах я всплесков трафика не вижу.

Еще пара серверов подключены в обход 3750E, но на них я смотрел их собственные счетчики (в ресурс-мониторе, сервера под Windows), там тоже нет аномалий.

Есть Ericsson SE100, на нем два LAG, на первом аплинк, на втором абоненты.

На портах, входящий в первый LAG, я вижу всплеск, соответствующий всплеску на аплинке.

На портах, входящих во второй LAG, я вижу заметный провал в трафике (у абонентов в этот момент существенная деградация сервисов).

Видимо атака направлена на SE100. Вот только что и где искать?

Share this post


Link to post
Share on other sites

Последние несколько дней наблюдаю на графике аплинка короткие всплески трафика (5-10 минут) на весь канал (в "полку").

Почти все сервера подключены через Cisco 3750E, на его портах я всплесков трафика не вижу.

Еще пара серверов подключены в обход 3750E, но на них я смотрел их собственные счетчики (в ресурс-мониторе, сервера под Windows), там тоже нет аномалий.

Есть Ericsson SE100, на нем два LAG, на первом аплинк, на втором абоненты.

На портах, входящий в первый LAG, я вижу всплеск, соответствующий всплеску на аплинке.

На портах, входящих во второй LAG, я вижу заметный провал в трафике (у абонентов в этот момент существенная деградация сервисов).

Видимо атака направлена на SE100. Вот только что и где искать?

Вообщем был и есть случаи ДДОС атаки. у нас приставки абоненские имеют роутер вирусня из соц сетей проникает на компьютер и с локальной сетки абонента взламывает роутер. Он меняет пароли добовляет ДНС записи свои затем меняет конфигурацию приставки чтобы она могла по их запросу производить ДДОС атаки. в итоге наша сетка была зарежана порядком 400-500 штук. и вразный момент времени они начанали флудить. Сделали дампы с порта проанализировали с каково порта и на какой порт и какие приставки флудят. Закрыли порты как не странно был порт 21 но его тоже закрыли на время. так же блэк лист заганли источник ддос атаки апишника. и обновляли каждую приставку с изменением паролей на них. в итоге 1 месяц гемора но зато все устранили и сейчас бывает такое но крайне мало.

На вопрос как защетится. РТК просит за канал 1гиг мониторинга от ДДОС атаки 150 тыс руб. Стоит? мы не стали проще мониторить и устранять с помощью дампов зеркалирования портов. там все понятно.

Share this post


Link to post
Share on other sites

Скорее всего в абонента, но полисер отрезает лишнее.

А как это можно проверить?

Нагрузка CPU по процессам?

Команды для снятия статистики с полисера я не видел.

 

 

если нат есть..

NAT не используется, белые динамические IP.

 

 

Он меняет пароли добовляет ДНС записи свои затем меняет конфигурацию приставки чтобы она могла по их запросу производить ДДОС атаки.

Судя по кратковременности всплесков и по тому, что у всплески практически отвесные (т.е. график мгновенно уперся в полку и также мгновенно вернулся обратно), это небольшое количество устройство, может даже одно.

Трафик где-то под гигабит, а у абонентов тарифов выше 90 Мбит/с нет.

Так что маловероятно.

Share this post


Link to post
Share on other sites

Трафик где-то под гигабит, а у абонентов тарифов выше 90 Мбит/с нет.

У нас аналогично таких скоростей нет. но я вот сеня 5 устройст устранил эти ддос атаки. вирусня млин.

Share this post


Link to post
Share on other sites

Однозначно ддос на абонента. На портах в сторону абонентов вы этого трафика видеть и не могли. Вы же его зашейпили. У клиентов деградацию вы видели потому, что паразитный трафик, похоже, вытеснил нормальный и сам зашейпился.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.