Jump to content
Калькуляторы

Летит дрянь из сети провайдера

Такая вот беда приключилась:

 

Получаю IPTV мультикастом из сети провайдера.

Топология простейшая: на всех пользователей цифрового ТВ у него один vlan, в котором торчит моя клиентская STB.

Последнее время участились вылазки кулхацкеров: летит под 30 kpps unicast DHCP ACK от имени якобы DHCP-сервера провайдера на несуществующий mac-адрес.

 

У себя терминирую vlan на D-Link 3526. Его, беднягу, от таких всплесков unicast траффика дико грузит (нагрузка CPU 100%). Соответственно страдает (сыпется) картинка, наблюдаются потери в других vlan.

 

Чем реально фильтровать такую дрянь, подскажите пожалуйста.

Share this post


Link to post
Share on other sites

Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

если не поможет ограничить количество пакетов юникаст трафика с это порта

если настройки не нужны в принципе зарезать все дхцпешники

Edited by HoatDog

Share this post


Link to post
Share on other sites
Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

Share this post


Link to post
Share on other sites
Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

ваши маки в белый лист все остальное в сад

Edited by HoatDog

Share this post


Link to post
Share on other sites
срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

Увы, да - поддельный. По получателю фильтрую, но он постоянно меняется :(

 

ваши маки в белый лист все остальное в сад
К сожалению, такая схема неприемлема по ряду причин.

Share this post


Link to post
Share on other sites

помоему это проблема провайдера. поставьте его в известность - пусть решает

Share this post


Link to post
Share on other sites
помоему это проблема провайдера. поставьте его в известность - пусть решает

"здравствуйте, я покупаю у вас интернет за писят копеек и раздаю ваш IPTV на шару ещё пару десяткам человек, которые не хотят платить вам свои писят копеек, и у меня понимаешь ли не работает мой STB из-за "блаблабла""

Share this post


Link to post
Share on other sites

Первое, что было сделано - обращение к админам провайдера. Это отдельная эпопея, но скажу что ответ лаконичен - пока работает, ничего трогать не будут.

Оно действительно 98% времени работает нормально. :) Только при сильных приступах наблюдаются потери и "осыпания".

 

ingress

Лол. Люблю людей с чувством юмора.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this