Jump to content
Калькуляторы

Летит дрянь из сети провайдера

KaraVan   

KaraVan
Posted · Report post

Такая вот беда приключилась:

 

Получаю IPTV мультикастом из сети провайдера.

Топология простейшая: на всех пользователей цифрового ТВ у него один vlan, в котором торчит моя клиентская STB.

Последнее время участились вылазки кулхацкеров: летит под 30 kpps unicast DHCP ACK от имени якобы DHCP-сервера провайдера на несуществующий mac-адрес.

 

У себя терминирую vlan на D-Link 3526. Его, беднягу, от таких всплесков unicast траффика дико грузит (нагрузка CPU 100%). Соответственно страдает (сыпется) картинка, наблюдаются потери в других vlan.

 

Чем реально фильтровать такую дрянь, подскажите пожалуйста.

Share this post

Link to post
Share on other sites

HoatDog   

HoatDog
Posted (edited) · Report post

Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

если не поможет ограничить количество пакетов юникаст трафика с это порта

если настройки не нужны в принципе зарезать все дхцпешники

Edited by HoatDog

Share this post

Link to post
Share on other sites

KaraVan   

KaraVan
Posted · Report post
Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

Share this post

Link to post
Share on other sites

HoatDog   

HoatDog
Posted (edited) · Report post
Поробуй фильтровать ACLками 

 //Разрешаем нужный
create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit
//Запрешаем чужие дхцп сервера
create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny

по идее зарежит все пакеты посылаем не нужными серверами

Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.
если не поможет ограничить количество пакетов юникаст трафика с это порта
А как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1

 

если настройки не нужны в принципе зарезать все дхцпешники
Увы и ах - для STB он жизненно необходим.

срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

ваши маки в белый лист все остальное в сад

Edited by HoatDog

Share this post

Link to post
Share on other sites

KaraVan   

KaraVan
Posted · Report post
срк мак тоже подельный или все таки есть вариант фильтрации?

Либо фильтровать по маку получателя

Увы, да - поддельный. По получателю фильтрую, но он постоянно меняется :(

 

ваши маки в белый лист все остальное в сад
К сожалению, такая схема неприемлема по ряду причин.

Share this post

Link to post
Share on other sites

L-ZiX   

L-ZiX
Posted · Report post

помоему это проблема провайдера. поставьте его в известность - пусть решает

Share this post

Link to post
Share on other sites

ingress   

ingress
Posted · Report post
помоему это проблема провайдера. поставьте его в известность - пусть решает

"здравствуйте, я покупаю у вас интернет за писят копеек и раздаю ваш IPTV на шару ещё пару десяткам человек, которые не хотят платить вам свои писят копеек, и у меня понимаешь ли не работает мой STB из-за "блаблабла""

Share this post

Link to post
Share on other sites

KaraVan   

KaraVan
Posted · Report post

Первое, что было сделано - обращение к админам провайдера. Это отдельная эпопея, но скажу что ответ лаконичен - пока работает, ничего трогать не будут.

Оно действительно 98% времени работает нормально. :) Только при сильных приступах наблюдаются потери и "осыпания".

 

ingress

Лол. Люблю людей с чувством юмора.

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  
Followers 0
Go To Topic Listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...