artplanet Опубликовано 13 ноября, 2018 (изменено) · Жалоба Собственно на одного нашего клиента идет ддос атака - слабенькая - 50-100 мегабит. Атаки идут с dns амплификации включая фрагментированные пакеты Атака приходит через 3 аплинков, на двух линках проблем нет - а вот на стыке между нами и IX появляются ошибки на порту - giants во время атак Графики: Трафик - http://owncloud.su/index.php/s/j2GaHTR5Sana4mt ошибки - http://owncloud.su/index.php/s/OyfnXpXZygaqYvC ошибки только giants настройки порта с нашей стороны: interface Ethernet1/31 no lldp transmit no lldp receive no cdp enable switchport mode trunk switchport trunk native vlan 444 switchport trunk allowed vlan 444-446 spanning-tree bpdufilter enable load-interval counter 2 120 load-interval counter 3 300 за каждый скачек прилетает около 20-30 ошибок. так же читал где то в инете что Giants - Полученные фрэймы размером более 1518 байт все ошибки на порту RX 4840283136 unicast packets 83988 multicast packets 4056829 broadcast packets 4844423953 input packets 557437530030 bytes 39980641 jumbo packets 0 storm suppression packets 0 runts 502 giants 0 CRC 0 no buffer 502 input error 0 short frame 0 overrun 0 underrun 0 ignored 0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop 0 input with dribble 0 input discard 0 Rx pause TX 17330573321 unicast packets 522 multicast packets 5 broadcast packets 17330573848 output packets 6356660234123 bytes 472141274 jumbo packets 0 output error 0 collision 0 deferred 0 late collision 0 lost carrier 0 no carrier 0 babble 0 output discard 0 Tx pause собсвенно как убрать подобные ошибки на порту ? с нашей стороны стоит Cisco Nexus 3064 Изменено 13 ноября, 2018 пользователем artplanet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 13 ноября, 2018 · Жалоба попросить апплинка выключить в Вашу сторону jumbo frames Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 13 ноября, 2018 · Жалоба интересное решение - но как мы можем судить - с другими алинками так же идут jumbo пакеты - и там ошибок 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 13 ноября, 2018 · Жалоба Давайте по порядку. на коммутаторе на котором линкуетесь с аплинками вообще у Вас (с Вашей стороны) включено или выключено jumbo? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 13 ноября, 2018 · Жалоба на коммутаторе с нашей стороны - Cisco Nexus 3064 мы не вводили никакие команды по поводу jumbo на всех портах после ввода команды show queuing interface ethernet 1/31 | i MTU HW MTU of Ethernet1/31 : 1500 bytes всегда MTU 1500 но почему то данный коммутатор на стыке со всеми аплинками считает jumbo packet если ввести: system jumbomtu ? <1500-9216> Enter jumbomtu то поддержка есть - но в конфиг файле нет ни одной записи по поводу jumbo show running-config | i jumbo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 13 ноября, 2018 · Жалоба Мб я слепой, но не вижу что бы он считал на всех аплинках джумбо фреймы. Еслина Вашем коммутаторе MTU стандартное -то с чегоВы взяли что со всех аплинков у Вас летит JUMBO? Если бы Jumbo летели со всех то при стандартном MTU на Вашем коммутаторе счётчик giants рос бы со всех сторон. Покажите вывод sh interface Ethernet1/31 и аналогичный вывод на стыке с другим аплинком, где нет ошибок Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 13 ноября, 2018 · Жалоба interface Ethernet1/31 no lldp transmit no lldp receive no cdp enable switchport mode trunk switchport trunk native vlan 444 switchport trunk allowed vlan 444-446 spanning-tree bpdufilter enable load-interval counter 2 120 load-interval counter 3 300 так же как я вижу Hardware: 100/1000/10000 Ethernet, address: 6c20.56ef.53a6 (bia 6c20.56ef.53a6) MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec reliability 255/255, txload 10/255, rxload 1/255 Encapsulation ARPA, medium is broadcast Port mode is trunk full-duplex, 10 Gb/s, media type is 10G Beacon is turned off Auto-Negotiation is turned off, FEC mode is Auto Input flow-control is off, output flow-control is off Auto-mdix is turned off Rate mode is dedicated Switchport monitor is off EtherType is 0x8100 EEE (efficient-ethernet) : n/a Last link flapped 1d21h Last clearing of "show interface" counters 01:04:56 0 interface resets 30 seconds input rate 32131568 bits/sec, 36775 packets/sec 30 seconds output rate 396694984 bits/sec, 121802 packets/sec Load-Interval #2: 2 minute (120 seconds) input rate 33.13 Mbps, 37.43 Kpps; output rate 400.64 Mbps, 122.07 Kpps Load-Interval #3: 5 minute (300 seconds) input rate 35.34 Mbps, 38.17 Kpps; output rate 413.49 Mbps, 125.12 Kpps RX 170351607 unicast packets 3089 multicast packets 142023 broadcast packets 170496719 input packets 21134053461 bytes 1945957 jumbo packets 0 storm suppression packets 0 runts 82 giants 0 CRC 0 no buffer 82 input error 0 short frame 0 overrun 0 underrun 0 ignored 0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop 0 input with dribble 0 input discard 0 Rx pause TX 581521397 unicast packets 18 multicast packets 0 broadcast packets 581521415 output packets 241765442708 bytes 8338289 jumbo packets 0 output error 0 collision 0 deferred 0 late collision 0 lost carrier 0 no carrier 0 babble 0 output discard 0 Tx pause тут постоянно увеличиваются счетчики jumbo packets а теперь другой порт interface Ethernet1/43 switchport mode trunk switchport trunk allowed vlan 220 speed auto admin state is up, Dedicated Interface Belongs to Po220 Hardware: 100/1000/10000 Ethernet, address: 6c20.56ef.53b2 (bia 6c20.56ef.53b2) MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec reliability 255/255, txload 4/255, rxload 3/255 Encapsulation ARPA, medium is broadcast Port mode is trunk full-duplex, 10 Gb/s, media type is 10G Beacon is turned off Auto-Negotiation is turned on, FEC mode is Auto Input flow-control is off, output flow-control is off Auto-mdix is turned off Rate mode is dedicated Switchport monitor is off EtherType is 0x8100 EEE (efficient-ethernet) : n/a Last link flapped 6week(s) 4day(s) Last clearing of "show interface" counters 01:06:32 0 interface resets 30 seconds input rate 152727184 bits/sec, 58967 packets/sec 30 seconds output rate 182784776 bits/sec, 88297 packets/sec Load-Interval #2: 5 minute (300 seconds) input rate 244.62 Mbps, 65.93 Kpps; output rate 164.53 Mbps, 86.78 Kpps RX 238805005 unicast packets 133 multicast packets 3 broadcast packets 238805141 input packets 39127255809 bytes 11431155 jumbo packets 0 storm suppression packets 0 runts 0 giants 0 CRC 0 no buffer 0 input error 0 short frame 0 overrun 0 underrun 0 ignored 0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop 0 input with dribble 0 input discard 0 Rx pause TX 358488520 unicast packets 6184 multicast packets 0 broadcast packets 358494704 output packets 87549947030 bytes 7015617 jumbo packets 0 output error 0 collision 0 deferred 0 late collision 0 lost carrier 0 no carrier 0 babble 0 output discard 0 Tx pause тут так же увеличиваются счетчики jumbo packets Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 13 ноября, 2018 · Жалоба 1) На всех портах у Вас выключен jumbo frame -> MTU 1500 bytes 2) Возможно в счётчике jumbo в данном случае считаются пакеты в 1500 байт А вот на стороне аплинка с которого растут ошибки сильно похоже летят пакеты в более чем 1500 байт и поэму растёт счётчик giant. То есть у данного аплинка именно джумбо включен в Вашу сторону. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 13 ноября, 2018 · Жалоба Если наш аплинк запретит в нашу сторону джумбо - то что будет с этими пакетами? свитч аплинка начнет фрагментировать пакет в нашу сторону ? или пакет просто дропнется и мы про него забудем ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 14 ноября, 2018 · Жалоба В 3064 jumbo frame конфигурируются немного по другому, а именно через policy-map type network-qos jumbo class type network-qos class-default mtu 9216 system qos service-policy type network-qos jumbo Для начала смотрим sh policy-map type network-qos после чего show queuing interface ethernet 1/31 https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/118994-config-nexus-00.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 14 ноября, 2018 · Жалоба 9 часов назад, artplanet сказал: Если наш аплинк запретит в нашу сторону джумбо - то что будет с этими пакетами? свитч аплинка начнет фрагментировать пакет в нашу сторону ? или пакет просто дропнется и мы про него забудем ? Если запретит на роутере то крупные пакеты просто перестанут порождаться в Вашу сторону Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 17 ноября, 2018 · Жалоба но у IX нет роутера - там стоит Nexus 3064 L2 свитч с жамбофреймами. А так как это IX - то там в L2 сети более 100 участников и никак не выследить кто из участников шлет к нам пакеты. (с нашей стороны не выследить) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 17 ноября, 2018 · Жалоба ну в этом случае только делать в свою сторону до своего пограничника jumbo frames,а уже в свою сеть отдавать стандартным мту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 19 ноября, 2018 · Жалоба В 17.11.2018 в 17:20, stalker86 сказал: ну в этом случае только делать в свою сторону до своего пограничника jumbo frames,а уже в свою сеть отдавать стандартным мту это не возможно сделать на l2 коммутаторе - или я что то путаю ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 ноября, 2018 · Жалоба практически на всех управляемых коммутаторах оно есть. ну и на роутере так же нужно будет включить джумбики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 19 ноября, 2018 · Жалоба 1 час назад, stalker86 сказал: практически на всех управляемых коммутаторах оно есть. ну и на роутере так же нужно будет включить джумбики. так речь идет о том чтоб включить жамбо в сторону аплинка - но выключить в сторону нашего корневого оборудования. просто на nexus 3064 можно включить жамбо только глобально на весь свитч Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 19 ноября, 2018 · Жалоба 4 часа назад, artplanet сказал: так речь идет о том чтоб включить жамбо в сторону аплинка - но выключить в сторону нашего корневого оборудования. просто на nexus 3064 можно включить жамбо только глобально на весь свитч Насколько я понимаю, речь о том, чтобы включить поддержку jumbo по пути вплоть до пограничного маршрутизатора, а уж он пусть занимается фрагментированием на уровне IP пакетов и дальше в сеть отдаёт со стандартным MTU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 20 ноября, 2018 · Жалоба 14 часов назад, StSphinx сказал: Насколько я понимаю, речь о том, чтобы включить поддержку jumbo по пути вплоть до пограничного маршрутизатора, а уж он пусть занимается фрагментированием на уровне IP пакетов и дальше в сеть отдаёт со стандартным MTU. Именно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 21 ноября, 2018 · Жалоба В 20.11.2018 в 13:15, stalker86 сказал: Именно! на сколько я понял L2 свитч в таком режиме будет просто дропать большие пакеты а не разбивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 22 ноября, 2018 · Жалоба 8 часов назад, artplanet сказал: на сколько я понял L2 свитч в таком режиме будет просто дропать большие пакеты а не разбивать. Читайте еще раз внимательно то, что написано выше. Про фрагментацию на L2 речь не идет, ее там просто нет как класса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanoka Опубликовано 14 марта, 2019 · Жалоба В 14.11.2018 в 00:04, artplanet сказал: на коммутаторе с нашей стороны - Cisco Nexus 3064 мы не вводили никакие команды по поводу jumbo Апну тему. Если посмотреть конфиг через "sh run all", то можно увидеть такую строчку "system jumbomtu 9216". Т.е. по умолчанию на нексусе видимо все таки включены jumbo размером 9216. У нас на интерфейсах увеличиваются счетчики jumbo-пакетов и растут счетчики ошибок Giants и Rcv-Err, причем значения счетчиков Giants и Rcv-Err совпадают друг с другом. MTU на всех портах стоит по дефолту 1500. Как избавиться от ошибок? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanoka Опубликовано 18 марта, 2019 · Жалоба policy-map type network-qos jumbo class type network-qos class-default mtu 9216 system qos service-policy type network-qos jumbo Включение jumbo помогло избавится от ошибок на портах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...