alibek Posted November 2, 2015 Последние несколько дней наблюдаю на графике аплинка короткие всплески трафика (5-10 минут) на весь канал (в "полку"). Почти все сервера подключены через Cisco 3750E, на его портах я всплесков трафика не вижу. Еще пара серверов подключены в обход 3750E, но на них я смотрел их собственные счетчики (в ресурс-мониторе, сервера под Windows), там тоже нет аномалий. Есть Ericsson SE100, на нем два LAG, на первом аплинк, на втором абоненты. На портах, входящий в первый LAG, я вижу всплеск, соответствующий всплеску на аплинке. На портах, входящих во второй LAG, я вижу заметный провал в трафике (у абонентов в этот момент существенная деградация сервисов). Видимо атака направлена на SE100. Вот только что и где искать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 2, 2015 Скорее всего в абонента, но полисер отрезает лишнее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
danswin Posted November 2, 2015 Последние несколько дней наблюдаю на графике аплинка короткие всплески трафика (5-10 минут) на весь канал (в "полку"). Почти все сервера подключены через Cisco 3750E, на его портах я всплесков трафика не вижу. Еще пара серверов подключены в обход 3750E, но на них я смотрел их собственные счетчики (в ресурс-мониторе, сервера под Windows), там тоже нет аномалий. Есть Ericsson SE100, на нем два LAG, на первом аплинк, на втором абоненты. На портах, входящий в первый LAG, я вижу всплеск, соответствующий всплеску на аплинке. На портах, входящих во второй LAG, я вижу заметный провал в трафике (у абонентов в этот момент существенная деградация сервисов). Видимо атака направлена на SE100. Вот только что и где искать? Вообщем был и есть случаи ДДОС атаки. у нас приставки абоненские имеют роутер вирусня из соц сетей проникает на компьютер и с локальной сетки абонента взламывает роутер. Он меняет пароли добовляет ДНС записи свои затем меняет конфигурацию приставки чтобы она могла по их запросу производить ДДОС атаки. в итоге наша сетка была зарежана порядком 400-500 штук. и вразный момент времени они начанали флудить. Сделали дампы с порта проанализировали с каково порта и на какой порт и какие приставки флудят. Закрыли порты как не странно был порт 21 но его тоже закрыли на время. так же блэк лист заганли источник ддос атаки апишника. и обновляли каждую приставку с изменением паролей на них. в итоге 1 месяц гемора но зато все устранили и сейчас бывает такое но крайне мало. На вопрос как защетится. РТК просит за канал 1гиг мониторинга от ДДОС атаки 150 тыс руб. Стоит? мы не стали проще мониторить и устранять с помощью дампов зеркалирования портов. там все понятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 2, 2015 если нат есть.. то могли в натпул ддосить.. железкам тоже от этого плохо.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 2, 2015 Скорее всего в абонента, но полисер отрезает лишнее. А как это можно проверить? Нагрузка CPU по процессам? Команды для снятия статистики с полисера я не видел. если нат есть.. NAT не используется, белые динамические IP. Он меняет пароли добовляет ДНС записи свои затем меняет конфигурацию приставки чтобы она могла по их запросу производить ДДОС атаки. Судя по кратковременности всплесков и по тому, что у всплески практически отвесные (т.е. график мгновенно уперся в полку и также мгновенно вернулся обратно), это небольшое количество устройство, может даже одно. Трафик где-то под гигабит, а у абонентов тарифов выше 90 Мбит/с нет. Так что маловероятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 2, 2015 Нетфлоу снимать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
danswin Posted November 2, 2015 Трафик где-то под гигабит, а у абонентов тарифов выше 90 Мбит/с нет. У нас аналогично таких скоростей нет. но я вот сеня 5 устройст устранил эти ддос атаки. вирусня млин. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted November 3, 2015 Однозначно ддос на абонента. На портах в сторону абонентов вы этого трафика видеть и не могли. Вы же его зашейпили. У клиентов деградацию вы видели потому, что паразитный трафик, похоже, вытеснил нормальный и сам зашейпился. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...