MikroTik паразитный трафик

[LexusXX]

Добрый день.

Стоит у клиента роутер MikroTik RB951G-2HnD.

Вчера началось очень странное поведение.

Канал провайдера забит на 7 мб из 10.

Сделал torch на интерфейсе смотрящий в инет, и увидел там соединение, которое идет с "левого" адреса на "левый" адрес (на на IP железки)

То есть с ip 95.140.93.29:1025 идет соединение на ip 224.200.202.182:1234 со скоростью Rx Rate 7,2 Mbps

и так как это соединение попадает только в prerouting ни чего с ним сделать я не могу.

DNS из вне закрыт на firefall правилом

 

Помогите советом, что это такое и как это победить.

Спасибо

Edited September 6, 2016 by LexusXX

[Mystray]

Дест адрес мультикаст, если что.

Либо у провайдера вылезло не туда, либо у вас внутри кто-то смотрит iptv.

[LexusXX]

Если бы внутри кто-то смотрел, я бы видел такие же скорости на внутренних интерфейсах.

да и с адресе назначения был бы мой внешний IP.

Поправьте меня если я не прав

[Mystray]

да и с адресе назначения был бы мой внешний IP.

Поправьте меня если я не прав

Нет, мультикаст без каких-нибудь udpxy не станет вдруг юникастом.

Но да, внутрь бы тоже шел, наверное.

Провайдеру звоните, может у них снупинг сломался.

[LexusXX]

Провайдеру звонил.

Он говорит что не видит этого трафика вообще.

и что канал у нас загружен в этот момент на 2-3 мб, а не на 7-8 как пишет мне микротик.

 

Так что помощи от прова я думаю ждать не стоит.

 

Вопрос можно ли этот трафик как-нибудь заблокировать?

[Mystray]

Вопрос можно ли этот трафик как-нибудь заблокировать?

 

Ну так он у вас и не проходит никуда. Или что вы понимаете под "заблокировать"?

На внутреннем интерфейсе ведь не видно исходящего с таким битрейтом?

Я думаю, либо у провайдера снупинга нет/не работает, и кто-то из ваших соседей по коммутатору смотрит этот поток, либо все же в локалке есть кто-то. Убедитесь, что у вас в микротике IGMP Proxy выключен.

И, все же, уточните еще раз у провайдера насчет IPTV, это что-то из широко распространенных плейлистов. Вполне вероятно, что оно вам и интернет-канал не забивает, если скорость режется не на порту.

[pingz]

Ваершарк в студию к оператору пару гигов файлик.

[hard1mpulse]

Провайдеру звонил.

Он говорит что не видит этого трафика вообще.

и что канал у нас загружен в этот момент на 2-3 мб, а не на 7-8 как пишет мне микротик.

 

Так что помощи от прова я думаю ждать не стоит.

 

Вопрос можно ли этот трафик как-нибудь заблокировать?

 

Надо точно долбить прова. Ибо это с их свича льется мкаст. Попросите их вообще исключить ваш порт из снупинга, если у них активное оборудование. Если пассивное то они всё равно этого не сделают.

А вообще, то что этот трафф вам льется, не значит, что он забивает вам канал в тырнет. Ведь врядли у вас 10мб линк до провайдера,правильно? Скорей всего линк у вас 100ка, и шейпится всё выше, не на свитче.

Соответственно, вот вам и ответ, почему пров не видит этого траффика.

[LexusXX]

Спасибо за ответы.

Буду пинать провайдера.

Хотя, что-то мне подсказывает, что на встречу они не пойдут(

[Adim]

чтоб не плодить спрошу тут...

имеем микротик инет с белым ип, через его идет только видеонаблюдение на видео сервер облачный

предистория...возрасла нагрузка на микротик до 80 процентов...в фаервол добавил правило на 53 порт полегчало намного...щяс нагрузка 1-6 процента

вопрос что сделать с этими остатками что висят...

p.s. под замалеванным dst. белый ип

Edited November 9, 2016 by Adim

[DRiVen]

что сделать с этими остатками что висят...

Ждать, пока ботнеты про вас забудут.

[Adim]

ясно....как в анекдоте..Ночь. Бар. Все закрыто. Немецкая мышь, оглядывается - кота нет, несётся к бару, наливает себе пива, выпивает и обратно к норке. Показывается французская мышь, оглядывается - нет кота ,тоже бежит к бару, наливает себе вина, выпивает и тоже убегает в нору.

Выглядывает русская мышь - нет кота, бежит к бару, наливает водки, оглядывается - нет кота, выпивает, 2-ю, 3-ю, потом 4-ю и 5-ю.. После 5-й садится - ну нет кота! - разминает мускулы, закуривает и злобно так бормочет: 'Ну ничего, мы подождем!