Jump to content
Калькуляторы

Лавинный мультикаст-шторм как понять и защититься?

Сия сущьность состоит из огромного количества мультикаст-пакетов следующего содержания:

src-mac - разные мак-адреса честных абонентов

dst-mac - один и тот же мултикастовый мак (который выставил "родоначальник" лавины)

src-ip - ip зачинщика

dst-ip - один или несколько адресов адресов за пределами подсети.

ttl - разный

 

Как я понимаю, "начальный подозреваемый" в следствие глюка ПО или злого умысла посылает пакеты, в которых вместо мака шлюза стоит мультикастовый мак.

Этот пакет ловят хосты (или soho-роутеры, я еще не определил, кто подвержен) по подсети, и посылают назад с уменьшенным ттл и, почему то, тем же мультикастовым dst-mac.

В результате имеем шторм "со всех сторон", который ловится только tcpdump-ом и только если удастся найти данные по src-ip.

 

Кто сталкивался и разбирался подробнее?

Share this post


Link to post
Share on other sites

а можно пример пакетов которые вы ловите?

Я могу предположить что это upnp multicast(ssdp), torrent,ipv6 multicast и прочая ботва генерируемая виндами и некоторыми приложениями. Она проявляется лавинно.

в зависимости с тем что у вас на доступе можно это вырезать.

Share this post


Link to post
Share on other sites

Это разные пакеты, например tcp к web-серверу, т.е. протоколы которые к мультикасту не имеют никакого отношения.

Полагаю, протоколы тут вообще не при чем, проблема находится на 3м уровне сетевой модели.

Навскидку, большинство ретрансляторов роутеры, например dir-100.

Edited by Valaskor

Share this post


Link to post
Share on other sites

приложите дамп

Share this post


Link to post
Share on other sites
приложите дамп

К больному месту! :)

 

Share this post


Link to post
Share on other sites
приложите дамп

К больному месту! :)

ысь ))) можно и сюда приаттачить)

просто довольно сложно сказать без дампов как тсп превращается в мультикаст..

Share this post


Link to post
Share on other sites

Дамп я не снял, а источник уже замочили. (В смысле отключили, не подумайте чего:)

Как превращается в мультикаст у меня есть предположение - у пользователя в качестве дефолта стоит мультикастовый адрес, уж не знаю как у него такое получилось. Ну или любой школьник может собрать такой пакет в вайршарке. В общем это не важно.

Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100.

Edited by Valaskor

Share this post


Link to post
Share on other sites
Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100.

о глюках прошивок этих безобидных хреней ходят легенды

Share this post


Link to post
Share on other sites

вскрывал длинк по этому поводу(схемы, дампы...), отморозились и ничего не поймали.

на последней прошивке вроде не проявляется.

Share this post


Link to post
Share on other sites

Да Dir 100 адский девайс, у нас 6-8 штук организовали syn flood на vpn сервер. Никто сессию с ним установить не мог пока не побанили всех.

Share this post


Link to post
Share on other sites

для защиты от syn-flood'а на сервере достаточно пары правил в iptables, не надо никого банить

Share this post


Link to post
Share on other sites

Только вот vpn был на кошке 72 серии, а tcp intercept как-то неочень справился.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this