Jump to content
Калькуляторы

Повесили кошку 7120 Один клиент умудрился

Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

Share this post


Link to post
Share on other sites

потому у меня всегда был закрыт удп80. кроме ддоса по нему ничего не бывает.

Share this post


Link to post
Share on other sites

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

Сам принципе решения проблемы? Лимитировать количество пакетов в сек?

Share this post


Link to post
Share on other sites

Включить Control Plane Protection? Правда 7120 железка старая, надо смотреть какой там последний IOS.

Edited by vindium

Share this post


Link to post
Share on other sites

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

у меня была одна точка (40 клиентов-юриков) на канале в 6/1мбит. пока не закрыл 80удп и не ограничил число запросов в минуту 25тсп - кто-нибудь да убивал канал. после введения ограничений ни одной жалобы/проблемы.

Share this post


Link to post
Share on other sites

Имхо любой юдп флуд будет валить.

cat /dev/zero | netcat -u IP_интерфейса PORT, порт любой. Пробовал. И не важно, фильтруется он асл или нет.

control-plane тоже может не помочь, resource policy можно попробовать для детекта таких ситуаций.

Edited by casperrr

Share this post


Link to post
Share on other sites
Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

Share this post


Link to post
Share on other sites
Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

Не поможет. В момент флуда sh proc cpu показывает высокую заргрузку по прерываниям в независимости от того, дропаются пакеты каким-либо механизмом, или нет.

Share this post


Link to post
Share on other sites

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

Share this post


Link to post
Share on other sites

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

Модно попробовать Storm Control на 3550 использовать. Он умеет по pps полисить.

Share this post


Link to post
Share on other sites

а я бы закрыл нафик UDP 80, ну глюканёт что-нибудь у одного клиента из тысяч раз в месяц, он подумает, что так и должно быть и забьёт на трабл.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this