Jump to content
Калькуляторы

Флуд в неуправляемом сегменте сети.

Здравствуйте!

Имеется часть неуправляемой сети куда еще не дошел апгрейд.

Примерно в одно и тоже время в ней возникает жесткий флуд.

У клиентов дикие потери пакетов.

Как-то можно попытаться отследить флудящую абонентскую железку в этом куске (mac, ip)?

Включил один порт сервера на линуксе в эту сетку.

Запускаю tcpdump на этом интерфейсе но, честно говоря, не знаю толком что там смотреть и на что обратить внимание.

Может посоветуете что?

 

Спасибо!

 

Share this post


Link to post
Share on other sites

32 минуты назад, micol сказал:

iftop
jnettop

 

Спасибо!

Установил iftop.

Флуд закончился к сожалению уже ))) К счастью!

Каждый вечер примерно с 21 до 00 часов.

 

Запускаю эту утилиту на нужном интерфейсе - вижу список соединений.

А как самого флудера здесь увидеть? Если это конечно возможно...

Share this post


Link to post
Share on other sites

@maverick5 боль 

Сегмент сети большой?

Схема сети?

Бюджет на апгрейд если рассматривать 1 управляемый +1-2 не управляемых?

Нужно уточнить флуд это или петля.

Тут уже нужно понять, кто флудит клиент или сам коммутатор.

Если железо позволяет, пограничное оборудование может сыпать в лог о петле. Либо включить stp на порту в который смотрит в сторону этого сегмента, либо смотреть онлайн на мак таблицу.

 

 

Обычно в таких ситуациях ищю проблему по графикам загруженности портов. 

Если есть возможность заходить на оборудование, отключа исходящие порты либо физически нужно попасть.

+ Сеть сегментированна на куски сразу видно в каком р-не проблема.

 

Share this post


Link to post
Share on other sites

1 час назад, pingz сказал:

@maverick5 боль 

Сегмент сети большой?

Схема сети?

Бюджет на апгрейд если рассматривать 1 управляемый +1-2 не управляемых?

Нужно уточнить флуд это или петля.

Тут уже нужно понять, кто флудит клиент или сам коммутатор.

Если железо позволяет, пограничное оборудование может сыпать в лог о петле. Либо включить stp на порту в который смотрит в сторону этого сегмента, либо смотреть онлайн на мак таблицу.

 

 

Обычно в таких ситуациях ищю проблему по графикам загруженности портов. 

Если есть возможность заходить на оборудование, отключа исходящие порты либо физически нужно попасть.

+ Сеть сегментированна на куски сразу видно в каком р-не проблема.

 

Сегодня вечером буду смотреть. Примерно в 9 вечера начинается...

Апгрейд делаем, строим PON.

Там частный сектор на мыльницах. Может кто и петлю делает (случайно или специально)

Если бы железо, то наверное проявлялось бы постоянно...

Share this post


Link to post
Share on other sites

@maverick5 у меня было пару коммутаторов которые начинали флулить, когда на подгоревшем порту появлялся клиент, или появлялась нагрузка. То же стояли не управляемые, но я больше 1-3 не подключал в порт на управляемый.

Share this post


Link to post
Share on other sites

1 час назад, pingz сказал:

@maverick5 у меня было пару коммутаторов которые начинали флулить, когда на подгоревшем порту появлялся клиент, или появлялась нагрузка. То же стояли не управляемые, но я больше 1-3 не подключал в порт на управляемый.

Есть такое. И у роутеров-мыльниц тоже встречалось.

 

ТС, есть путь долгий и короткий. Долгий - отключать компы по одному и следить. Короткий - поставить управляемый коммутатор, хотя бы на время.

Share this post


Link to post
Share on other sites

В 30.08.2020 в 23:41, maverick5 сказал:

Как-то можно попытаться отследить флудящую абонентскую железку в этом куске (mac, ip)?

Конечно, подключаете к сети микротик и во время флуда через торч смотрите что идет, а через снифер можно маки посмотреть. А если микротик поставить в разрыв, то можно увидеть откуда корни растут.

 

Если взять вариант что не флуд полный что забивает порты, а что попроще, то при наличии флуда по АРП как раз и будут потери, хотя сам канал может быть и не загружен в полку. Тут нужно сделать так, что бы до сервера не прилетал этот мусор, вручную прибить арп записи клиентов, если используется IP для транспорта.

Share this post


Link to post
Share on other sites

В 30.08.2020 в 23:41, maverick5 сказал:

Включил один порт сервера на линуксе в эту сетку.

Запускаю tcpdump на этом интерфейсе но, честно говоря, не знаю толком что там смотреть и на что обратить внимание.

Может посоветуете что?

Найдите того, кто знает на что смотреть в дампе трафика флуда.
На самом деле, там вероятнее всего будет просто море пакетов с самыми разными МАС и IP, которые и спецу мало о чём скажут. Мусор, он и Африке мусор.

Если у вас под рукой нет умного свича, самый простой способ вычислить источник беды - методично по порядку отключать порты и смотреть, остановился флуд или нет. Если сегмент имеет структуру ветвления, начинайте с отключения портов в свиче, самом близком к ядру (агрегация). Далее постепенно локализуете источник беды до крайнего свича на доступе. Источником может быть как сам свичь, так и абонент в его порту.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.