maverick5 Posted August 30, 2020 · Report post Здравствуйте! Имеется часть неуправляемой сети куда еще не дошел апгрейд. Примерно в одно и тоже время в ней возникает жесткий флуд. У клиентов дикие потери пакетов. Как-то можно попытаться отследить флудящую абонентскую железку в этом куске (mac, ip)? Включил один порт сервера на линуксе в эту сетку. Запускаю tcpdump на этом интерфейсе но, честно говоря, не знаю толком что там смотреть и на что обратить внимание. Может посоветуете что? Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
micol Posted August 30, 2020 (edited) · Report post iftop jnettop Edited August 30, 2020 by micol Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maverick5 Posted August 30, 2020 · Report post 32 минуты назад, micol сказал: iftop jnettop Спасибо! Установил iftop. Флуд закончился к сожалению уже ))) К счастью! Каждый вечер примерно с 21 до 00 часов. Запускаю эту утилиту на нужном интерфейсе - вижу список соединений. А как самого флудера здесь увидеть? Если это конечно возможно... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 31, 2020 · Report post @maverick5 боль Сегмент сети большой? Схема сети? Бюджет на апгрейд если рассматривать 1 управляемый +1-2 не управляемых? Нужно уточнить флуд это или петля. Тут уже нужно понять, кто флудит клиент или сам коммутатор. Если железо позволяет, пограничное оборудование может сыпать в лог о петле. Либо включить stp на порту в который смотрит в сторону этого сегмента, либо смотреть онлайн на мак таблицу. Обычно в таких ситуациях ищю проблему по графикам загруженности портов. Если есть возможность заходить на оборудование, отключа исходящие порты либо физически нужно попасть. + Сеть сегментированна на куски сразу видно в каком р-не проблема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maverick5 Posted August 31, 2020 · Report post 1 час назад, pingz сказал: @maverick5 боль Сегмент сети большой? Схема сети? Бюджет на апгрейд если рассматривать 1 управляемый +1-2 не управляемых? Нужно уточнить флуд это или петля. Тут уже нужно понять, кто флудит клиент или сам коммутатор. Если железо позволяет, пограничное оборудование может сыпать в лог о петле. Либо включить stp на порту в который смотрит в сторону этого сегмента, либо смотреть онлайн на мак таблицу. Обычно в таких ситуациях ищю проблему по графикам загруженности портов. Если есть возможность заходить на оборудование, отключа исходящие порты либо физически нужно попасть. + Сеть сегментированна на куски сразу видно в каком р-не проблема. Сегодня вечером буду смотреть. Примерно в 9 вечера начинается... Апгрейд делаем, строим PON. Там частный сектор на мыльницах. Может кто и петлю делает (случайно или специально) Если бы железо, то наверное проявлялось бы постоянно... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 31, 2020 · Report post @maverick5 у меня было пару коммутаторов которые начинали флулить, когда на подгоревшем порту появлялся клиент, или появлялась нагрузка. То же стояли не управляемые, но я больше 1-3 не подключал в порт на управляемый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ayf Posted August 31, 2020 · Report post 1 час назад, pingz сказал: @maverick5 у меня было пару коммутаторов которые начинали флулить, когда на подгоревшем порту появлялся клиент, или появлялась нагрузка. То же стояли не управляемые, но я больше 1-3 не подключал в порт на управляемый. Есть такое. И у роутеров-мыльниц тоже встречалось. ТС, есть путь долгий и короткий. Долгий - отключать компы по одному и следить. Короткий - поставить управляемый коммутатор, хотя бы на время. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 6, 2020 · Report post В 30.08.2020 в 23:41, maverick5 сказал: Как-то можно попытаться отследить флудящую абонентскую железку в этом куске (mac, ip)? Конечно, подключаете к сети микротик и во время флуда через торч смотрите что идет, а через снифер можно маки посмотреть. А если микротик поставить в разрыв, то можно увидеть откуда корни растут. Если взять вариант что не флуд полный что забивает порты, а что попроще, то при наличии флуда по АРП как раз и будут потери, хотя сам канал может быть и не загружен в полку. Тут нужно сделать так, что бы до сервера не прилетал этот мусор, вручную прибить арп записи клиентов, если используется IP для транспорта. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted September 8, 2020 · Report post В 30.08.2020 в 23:41, maverick5 сказал: Включил один порт сервера на линуксе в эту сетку. Запускаю tcpdump на этом интерфейсе но, честно говоря, не знаю толком что там смотреть и на что обратить внимание. Может посоветуете что? Найдите того, кто знает на что смотреть в дампе трафика флуда. На самом деле, там вероятнее всего будет просто море пакетов с самыми разными МАС и IP, которые и спецу мало о чём скажут. Мусор, он и Африке мусор. Если у вас под рукой нет умного свича, самый простой способ вычислить источник беды - методично по порядку отключать порты и смотреть, остановился флуд или нет. Если сегмент имеет структуру ветвления, начинайте с отключения портов в свиче, самом близком к ядру (агрегация). Далее постепенно локализуете источник беды до крайнего свича на доступе. Источником может быть как сам свичь, так и абонент в его порту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
