Перейти к содержимому
Калькуляторы

Повесили кошку 7120 Один клиент умудрился

Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потому у меня всегда был закрыт удп80. кроме ддоса по нему ничего не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

Сам принципе решения проблемы? Лимитировать количество пакетов в сек?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включить Control Plane Protection? Правда 7120 железка старая, надо смотреть какой там последний IOS.

Изменено пользователем vindium

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а tcp 80 не закроешь

ну смотря куда

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь.

у меня была одна точка (40 клиентов-юриков) на канале в 6/1мбит. пока не закрыл 80удп и не ограничил число запросов в минуту 25тсп - кто-нибудь да убивал канал. после введения ограничений ни одной жалобы/проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхо любой юдп флуд будет валить.

cat /dev/zero | netcat -u IP_интерфейса PORT, порт любой. Пробовал. И не важно, фильтруется он асл или нет.

control-plane тоже может не помочь, resource policy можно попробовать для детекта таких ситуаций.

Изменено пользователем casperrr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.

Не пиналась только 7120, которая стоит за Л3 мутатором 3550.

Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит.

 

Вопрос: как избежать подобных проблем в будущем?

rate-limit ?

Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop

Router(config)#access-list 101 permit udp any any eq 80

Не поможет. В момент флуда sh proc cpu показывает высокую заргрузку по прерываниям в независимости от того, дропаются пакеты каким-либо механизмом, или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом.

Модно попробовать Storm Control на 3550 использовать. Он умеет по pps полисить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а я бы закрыл нафик UDP 80, ну глюканёт что-нибудь у одного клиента из тысяч раз в месяц, он подумает, что так и должно быть и забьёт на трабл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.