Jump to content

Летит дрянь из сети провайдера

KaraVan
 Share

Recommended Posts

KaraVan

KaraVan

Posted
Posted

Такая вот беда приключилась:

 

Получаю IPTV мультикастом из сети провайдера.

Топология простейшая: на всех пользователей цифрового ТВ у него один vlan, в котором торчит моя клиентская STB.

Последнее время участились вылазки кулхацкеров: летит под 30 kpps unicast DHCP ACK от имени якобы DHCP-сервера провайдера на несуществующий mac-адрес.

 

У себя терминирую vlan на D-Link 3526. Его, беднягу, от таких всплесков unicast траффика дико грузит (нагрузка CPU 100%). Соответственно страдает (сыпется) картинка, наблюдаются потери в других vlan.

 

Чем реально фильтровать такую дрянь, подскажите пожалуйста.

HoatDog

HoatDog

Posted
Posted (edited)

Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

если не поможет ограничить количество пакетов юникаст трафика с это порта

если настройки не нужны в принципе зарезать все дхцпешники

Edited by HoatDog
KaraVan

KaraVan

Posted
  • Author
Posted
Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.
HoatDog

HoatDog

Posted
Posted (edited)
Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

ваши маки в белый лист все остальное в сад

Edited by HoatDog
KaraVan

KaraVan

Posted
  • Author
Posted
срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

Увы, да - поддельный. По получателю фильтрую, но он постоянно меняется :(

 

ваши маки в белый лист все остальное в сад
К сожалению, такая схема неприемлема по ряду причин.
ingress

ingress

Posted
Posted
помоему это проблема провайдера. поставьте его в известность - пусть решает

"здравствуйте, я покупаю у вас интернет за писят копеек и раздаю ваш IPTV на шару ещё пару десяткам человек, которые не хотят платить вам свои писят копеек, и у меня понимаешь ли не работает мой STB из-за "блаблабла""

KaraVan

KaraVan

Posted
  • Author
Posted

Первое, что было сделано - обращение к админам провайдера. Это отдельная эпопея, но скажу что ответ лаконичен - пока работает, ничего трогать не будут.

Оно действительно 98% времени работает нормально. :) Только при сильных приступах наблюдаются потери и "осыпания".

 

ingress

Лол. Люблю людей с чувством юмора.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.