Jump to content

Повесили кошку 7120

Heggi
 Share

Recommended Posts

Heggi

Heggi

Posted
Posted

Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

Heggi

Heggi

Posted
  • Author
Posted

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

Сам принципе решения проблемы? Лимитировать количество пакетов в сек?

woddy

woddy

Posted
Posted

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

у меня была одна точка (40 клиентов-юриков) на канале в 6/1мбит. пока не закрыл 80удп и не ограничил число запросов в минуту 25тсп - кто-нибудь да убивал канал. после введения ограничений ни одной жалобы/проблемы.

casperrr

casperrr

Posted
Posted (edited)

Имхо любой юдп флуд будет валить.

cat /dev/zero | netcat -u IP_интерфейса PORT, порт любой. Пробовал. И не важно, фильтруется он асл или нет.

control-plane тоже может не помочь, resource policy можно попробовать для детекта таких ситуаций.

Edited by casperrr
silvercaptain

silvercaptain

Posted
Posted
Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

casperrr

casperrr

Posted
Posted
Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

Не поможет. В момент флуда sh proc cpu показывает высокую заргрузку по прерываниям в независимости от того, дропаются пакеты каким-либо механизмом, или нет.
Heggi

Heggi

Posted
  • Author
Posted

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

nnm

nnm

Posted
Posted

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

Модно попробовать Storm Control на 3550 использовать. Он умеет по pps полисить.

terrible

terrible

Posted
Posted

а я бы закрыл нафик UDP 80, ну глюканёт что-нибудь у одного клиента из тысяч раз в месяц, он подумает, что так и должно быть и забьёт на трабл.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.