[artplanet]

Собственно на одного нашего клиента идет ддос атака - слабенькая - 50-100 мегабит. Атаки идут с dns амплификации включая фрагментированные пакеты

Атака приходит через 3 аплинков, на двух линках проблем нет - а вот на стыке между нами и IX появляются ошибки на порту - giants во время атак

Графики:

Трафик - http://owncloud.su/index.php/s/j2GaHTR5Sana4mt

ошибки - http://owncloud.su/index.php/s/OyfnXpXZygaqYvC

 

ошибки только giants

 

настройки порта с нашей стороны:

interface Ethernet1/31
  no lldp transmit
  no lldp receive
  no cdp enable
  switchport mode trunk
  switchport trunk native vlan 444
  switchport trunk allowed vlan 444-446
  spanning-tree bpdufilter enable
  load-interval counter 2 120
  load-interval counter 3 300

 

за каждый скачек прилетает около 20-30 ошибок. 

 

так же читал где то в инете что Giants - Полученные фрэймы размером более 1518 байт

 

все ошибки на порту

  RX
    4840283136 unicast packets  83988 multicast packets  4056829 broadcast packets
    4844423953 input packets  557437530030 bytes
    39980641 jumbo packets  0 storm suppression packets
    0 runts  502 giants  0 CRC  0 no buffer
    502 input error  0 short frame  0 overrun   0 underrun  0 ignored
    0 watchdog  0 bad etype drop  0 bad proto drop  0 if down drop
    0 input with dribble  0 input discard
    0 Rx pause
  TX
    17330573321 unicast packets  522 multicast packets  5 broadcast packets
    17330573848 output packets  6356660234123 bytes
    472141274 jumbo packets
    0 output error  0 collision  0 deferred  0 late collision
    0 lost carrier  0 no carrier  0 babble  0 output discard
    0 Tx pause

 

собсвенно как убрать подобные ошибки на порту ?

с нашей стороны стоит Cisco Nexus 3064

Изменено 13 ноября, 2018 пользователем artplanet

[stalker86]

попросить апплинка выключить в Вашу сторону jumbo frames

[artplanet]

интересное решение - но как мы можем судить - с другими алинками так же идут jumbo пакеты - и там ошибок 0 

[stalker86]

Давайте по порядку. на коммутаторе на котором линкуетесь с аплинками вообще у Вас  (с Вашей стороны) включено или выключено jumbo?

[artplanet]

на коммутаторе с нашей стороны - Cisco Nexus 3064 мы не вводили никакие команды по поводу jumbo 

на всех портах после ввода команды

show queuing interface ethernet 1/31 | i MTU
HW MTU of Ethernet1/31 : 1500 bytes

всегда MTU 1500

 

но почему то данный коммутатор на стыке со всеми аплинками считает jumbo packet

 

если ввести:

system jumbomtu ?
  <1500-9216>  Enter jumbomtu

то поддержка есть - но в конфиг файле нет ни одной записи по поводу jumbo 

show running-config | i jumbo

 

[stalker86]

Мб я слепой, но не вижу что бы он считал на всех аплинках джумбо фреймы.

Еслина Вашем коммутаторе MTU стандартное -то с чегоВы взяли что со всех аплинков у Вас летит JUMBO?

 

Если бы Jumbo летели со всех то  при стандартном MTU на Вашем коммутаторе счётчик giants рос бы со всех сторон.

 

Покажите вывод sh interface Ethernet1/31

и аналогичный вывод на стыке с другим аплинком, где нет ошибок

 

[artplanet]

interface Ethernet1/31
  no lldp transmit
  no lldp receive
  no cdp enable
  switchport mode trunk
  switchport trunk native vlan 444
  switchport trunk allowed vlan 444-446
  spanning-tree bpdufilter enable
  load-interval counter 2 120
  load-interval counter 3 300

 

так же как я вижу 

  Hardware: 100/1000/10000 Ethernet, address: 6c20.56ef.53a6 (bia 6c20.56ef.53a6)
  MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec
  reliability 255/255, txload 10/255, rxload 1/255
  Encapsulation ARPA, medium is broadcast
  Port mode is trunk
  full-duplex, 10 Gb/s, media type is 10G
  Beacon is turned off
  Auto-Negotiation is turned off, FEC mode is Auto
  Input flow-control is off, output flow-control is off
  Auto-mdix is turned off
  Rate mode is dedicated
  Switchport monitor is off 
  EtherType is 0x8100 
  EEE (efficient-ethernet) : n/a
  Last link flapped 1d21h
  Last clearing of "show interface" counters 01:04:56
  0 interface resets
  30 seconds input rate 32131568 bits/sec, 36775 packets/sec
  30 seconds output rate 396694984 bits/sec, 121802 packets/sec
  Load-Interval #2: 2 minute (120 seconds)
    input rate 33.13 Mbps, 37.43 Kpps; output rate 400.64 Mbps, 122.07 Kpps
  Load-Interval #3: 5 minute (300 seconds)
    input rate 35.34 Mbps, 38.17 Kpps; output rate 413.49 Mbps, 125.12 Kpps
  RX
    170351607 unicast packets  3089 multicast packets  142023 broadcast packets
    170496719 input packets  21134053461 bytes
    1945957 jumbo packets  0 storm suppression packets
    0 runts  82 giants  0 CRC  0 no buffer
    82 input error  0 short frame  0 overrun   0 underrun  0 ignored
    0 watchdog  0 bad etype drop  0 bad proto drop  0 if down drop
    0 input with dribble  0 input discard
    0 Rx pause
  TX
    581521397 unicast packets  18 multicast packets  0 broadcast packets
    581521415 output packets  241765442708 bytes
    8338289 jumbo packets
    0 output error  0 collision  0 deferred  0 late collision
    0 lost carrier  0 no carrier  0 babble  0 output discard
    0 Tx pause

 

тут постоянно увеличиваются счетчики jumbo packets

 

 

а теперь другой порт

interface Ethernet1/43
  switchport mode trunk
  switchport trunk allowed vlan 220
  speed auto

 

admin state is up, Dedicated Interface
  Belongs to Po220
  Hardware: 100/1000/10000 Ethernet, address: 6c20.56ef.53b2 (bia 6c20.56ef.53b2)
  MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec
  reliability 255/255, txload 4/255, rxload 3/255
  Encapsulation ARPA, medium is broadcast
  Port mode is trunk
  full-duplex, 10 Gb/s, media type is 10G
  Beacon is turned off
  Auto-Negotiation is turned on, FEC mode is Auto
  Input flow-control is off, output flow-control is off
  Auto-mdix is turned off
  Rate mode is dedicated
  Switchport monitor is off 
  EtherType is 0x8100 
  EEE (efficient-ethernet) : n/a
  Last link flapped 6week(s) 4day(s)
  Last clearing of "show interface" counters 01:06:32
  0 interface resets
  30 seconds input rate 152727184 bits/sec, 58967 packets/sec
  30 seconds output rate 182784776 bits/sec, 88297 packets/sec
  Load-Interval #2: 5 minute (300 seconds)
    input rate 244.62 Mbps, 65.93 Kpps; output rate 164.53 Mbps, 86.78 Kpps
  RX
    238805005 unicast packets  133 multicast packets  3 broadcast packets
    238805141 input packets  39127255809 bytes
    11431155 jumbo packets  0 storm suppression packets
    0 runts  0 giants  0 CRC  0 no buffer
    0 input error  0 short frame  0 overrun   0 underrun  0 ignored
    0 watchdog  0 bad etype drop  0 bad proto drop  0 if down drop
    0 input with dribble  0 input discard
    0 Rx pause
  TX
    358488520 unicast packets  6184 multicast packets  0 broadcast packets
    358494704 output packets  87549947030 bytes
    7015617 jumbo packets
    0 output error  0 collision  0 deferred  0 late collision
    0 lost carrier  0 no carrier  0 babble  0 output discard
    0 Tx pause

 

тут так же увеличиваются счетчики  jumbo packets

 

[stalker86]

1) На всех портах у Вас выключен jumbo frame ->  MTU 1500 bytes

2) Возможно в счётчике jumbo в данном случае считаются пакеты в 1500 байт

 

А вот на стороне аплинка с которого растут ошибки сильно похоже летят пакеты в более чем 1500 байт и поэму растёт счётчик giant. То есть у данного аплинка именно джумбо включен в Вашу сторону.

[artplanet]

Если наш аплинк запретит в нашу сторону джумбо - то что будет с этими пакетами? свитч аплинка начнет фрагментировать пакет в нашу сторону ?

или пакет просто дропнется и мы про него забудем ?

[VitMain]

В 3064 jumbo frame конфигурируются немного по другому, а именно через 

policy-map type network-qos jumbo
  class type network-qos class-default
          mtu 9216
system qos
  service-policy type network-qos jumbo

Для начала смотрим sh policy-map type network-qos

после чего show queuing interface ethernet 1/31

 

https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/118994-config-nexus-00.html

[stalker86]

9 часов назад, artplanet сказал:

Если наш аплинк запретит в нашу сторону джумбо - то что будет с этими пакетами? свитч аплинка начнет фрагментировать пакет в нашу сторону ?

или пакет просто дропнется и мы про него забудем ?

Если запретит на роутере то крупные пакеты просто перестанут порождаться в Вашу сторону

[artplanet]

но у IX нет роутера - там стоит Nexus 3064 L2 свитч с жамбофреймами.  А так как это IX - то там в L2 сети более 100 участников и никак не выследить кто из участников шлет к нам пакеты. (с нашей стороны не выследить) 

[stalker86]

ну в этом случае только делать в свою сторону до своего пограничника jumbo frames,а уже в свою сеть отдавать стандартным мту

[artplanet]

В 17.11.2018 в 17:20, stalker86 сказал:

ну в этом случае только делать в свою сторону до своего пограничника jumbo frames,а уже в свою сеть отдавать стандартным мту

это не возможно сделать на l2 коммутаторе - или я что то путаю ?

[stalker86]

практически на всех  управляемых коммутаторах оно есть. ну и на роутере так же нужно будет включить джумбики.

[artplanet]

1 час назад, stalker86 сказал:

практически на всех  управляемых коммутаторах оно есть. ну и на роутере так же нужно будет включить джумбики.

 

так речь идет о том чтоб включить жамбо в сторону аплинка - но выключить в сторону нашего корневого оборудования.

просто на nexus 3064 можно включить жамбо только глобально на весь свитч

[StSphinx]

4 часа назад, artplanet сказал:

 

так речь идет о том чтоб включить жамбо в сторону аплинка - но выключить в сторону нашего корневого оборудования.

просто на nexus 3064 можно включить жамбо только глобально на весь свитч

Насколько я понимаю, речь о том, чтобы включить поддержку jumbo по пути вплоть до пограничного маршрутизатора, а уж он пусть занимается фрагментированием на уровне IP пакетов и дальше в сеть отдаёт со стандартным MTU.

[stalker86]

14 часов назад, StSphinx сказал:

Насколько я понимаю, речь о том, чтобы включить поддержку jumbo по пути вплоть до пограничного маршрутизатора, а уж он пусть занимается фрагментированием на уровне IP пакетов и дальше в сеть отдаёт со стандартным MTU.

 

Именно!

[artplanet]

В 20.11.2018 в 13:15, stalker86 сказал:

 

Именно!

 

на сколько я понял L2 свитч в таком режиме будет просто дропать большие пакеты  а не разбивать.  

[StSphinx]

8 часов назад, artplanet сказал:

 

на сколько я понял L2 свитч в таком режиме будет просто дропать большие пакеты  а не разбивать.  

 

Читайте еще раз внимательно то, что написано выше. Про фрагментацию на L2 речь не идет, ее там просто нет как класса.

[sanoka]

В 14.11.2018 в 00:04, artplanet сказал:

на коммутаторе с нашей стороны - Cisco Nexus 3064 мы не вводили никакие команды по поводу jumbo 

Апну тему. Если посмотреть конфиг через "sh run all", то можно увидеть такую строчку "system jumbomtu 9216". Т.е. по умолчанию на нексусе видимо все таки включены jumbo размером 9216.

У нас на интерфейсах увеличиваются счетчики jumbo-пакетов и растут счетчики ошибок Giants и Rcv-Err, причем значения счетчиков Giants и Rcv-Err совпадают друг с другом. MTU на всех портах стоит по дефолту 1500.

Как избавиться от ошибок? 

[sanoka]

policy-map type network-qos jumbo
  class type network-qos class-default
          mtu 9216
system qos
  service-policy type network-qos jumbo

Включение jumbo помогло избавится от ошибок на портах.