Heggi Опубликовано 14 сентября, 2009 · Жалоба Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал. Не пиналась только 7120, которая стоит за Л3 мутатором 3550. Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит. Вопрос: как избежать подобных проблем в будущем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 14 сентября, 2009 · Жалоба потому у меня всегда был закрыт удп80. кроме ддоса по нему ничего не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 14 сентября, 2009 · Жалоба сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь. Сам принципе решения проблемы? Лимитировать количество пакетов в сек? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vindium Опубликовано 15 сентября, 2009 (изменено) · Жалоба Включить Control Plane Protection? Правда 7120 железка старая, надо смотреть какой там последний IOS. Изменено 15 сентября, 2009 пользователем vindium Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 сентября, 2009 · Жалоба а tcp 80 не закроешь ну смотря куда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 15 сентября, 2009 · Жалоба сегодня ддос по удп80, а завтра tcp syn 80, а tcp 80 не закроешь. у меня была одна точка (40 клиентов-юриков) на канале в 6/1мбит. пока не закрыл 80удп и не ограничил число запросов в минуту 25тсп - кто-нибудь да убивал канал. после введения ограничений ни одной жалобы/проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 15 сентября, 2009 (изменено) · Жалоба Имхо любой юдп флуд будет валить. cat /dev/zero | netcat -u IP_интерфейса PORT, порт любой. Пробовал. И не важно, фильтруется он асл или нет. control-plane тоже может не помочь, resource policy можно попробовать для детекта таких ситуаций. Изменено 15 сентября, 2009 пользователем casperrr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
silvercaptain Опубликовано 15 сентября, 2009 · Жалоба Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.Не пиналась только 7120, которая стоит за Л3 мутатором 3550. Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит. Вопрос: как избежать подобных проблем в будущем? rate-limit ? Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop Router(config)#access-list 101 permit udp any any eq 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 15 сентября, 2009 · Жалоба Случилось это так: В один прекрасный момент начал тупить инет а потом и вообще пропал.Не пиналась только 7120, которая стоит за Л3 мутатором 3550. Расследование показало, что один клиент, посылая тонны пакетов на 80 порт UDP(!!!) просто грузит проц циске на 100%, от чего ей становится плохо и тошнит. Вопрос: как избежать подобных проблем в будущем? rate-limit ? Router(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop Router(config)#access-list 101 permit udp any any eq 80 Не поможет. В момент флуда sh proc cpu показывает высокую заргрузку по прерываниям в независимости от того, дропаются пакеты каким-либо механизмом, или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 15 сентября, 2009 · Жалоба Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 15 сентября, 2009 · Жалоба Так какой выход? Фильтрануть udp 80 на кошке 3550 (стоит перед 7120)? 3550 себя хорошо вела, даже под флудом. Модно попробовать Storm Control на 3550 использовать. Он умеет по pps полисить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 сентября, 2009 · Жалоба а я бы закрыл нафик UDP 80, ну глюканёт что-нибудь у одного клиента из тысяч раз в месяц, он подумает, что так и должно быть и забьёт на трабл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...