Перейти к содержимому
Калькуляторы

Летит дрянь из сети провайдера

Такая вот беда приключилась:

 

Получаю IPTV мультикастом из сети провайдера.

Топология простейшая: на всех пользователей цифрового ТВ у него один vlan, в котором торчит моя клиентская STB.

Последнее время участились вылазки кулхацкеров: летит под 30 kpps unicast DHCP ACK от имени якобы DHCP-сервера провайдера на несуществующий mac-адрес.

 

У себя терминирую vlan на D-Link 3526. Его, беднягу, от таких всплесков unicast траффика дико грузит (нагрузка CPU 100%). Соответственно страдает (сыпется) картинка, наблюдаются потери в других vlan.

 

Чем реально фильтровать такую дрянь, подскажите пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

если не поможет ограничить количество пакетов юникаст трафика с это порта

если настройки не нужны в принципе зарезать все дхцпешники

Изменено пользователем HoatDog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуй фильтровать ACLками

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

ваши маки в белый лист все остальное в сад

Изменено пользователем HoatDog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

Увы, да - поддельный. По получателю фильтрую, но он постоянно меняется :(

 

ваши маки в белый лист все остальное в сад
К сожалению, такая схема неприемлема по ряду причин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

помоему это проблема провайдера. поставьте его в известность - пусть решает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

помоему это проблема провайдера. поставьте его в известность - пусть решает

"здравствуйте, я покупаю у вас интернет за писят копеек и раздаю ваш IPTV на шару ещё пару десяткам человек, которые не хотят платить вам свои писят копеек, и у меня понимаешь ли не работает мой STB из-за "блаблабла""

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первое, что было сделано - обращение к админам провайдера. Это отдельная эпопея, но скажу что ответ лаконичен - пока работает, ничего трогать не будут.

Оно действительно 98% времени работает нормально. :) Только при сильных приступах наблюдаются потери и "осыпания".

 

ingress

Лол. Люблю людей с чувством юмора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.