Valaskor Posted July 22, 2010 Posted July 22, 2010 Сия сущьность состоит из огромного количества мультикаст-пакетов следующего содержания: src-mac - разные мак-адреса честных абонентов dst-mac - один и тот же мултикастовый мак (который выставил "родоначальник" лавины) src-ip - ip зачинщика dst-ip - один или несколько адресов адресов за пределами подсети. ttl - разный Как я понимаю, "начальный подозреваемый" в следствие глюка ПО или злого умысла посылает пакеты, в которых вместо мака шлюза стоит мультикастовый мак. Этот пакет ловят хосты (или soho-роутеры, я еще не определил, кто подвержен) по подсети, и посылают назад с уменьшенным ттл и, почему то, тем же мультикастовым dst-mac. В результате имеем шторм "со всех сторон", который ловится только tcpdump-ом и только если удастся найти данные по src-ip. Кто сталкивался и разбирался подробнее? Вставить ник Quote
Frau Posted July 22, 2010 Posted July 22, 2010 а можно пример пакетов которые вы ловите? Я могу предположить что это upnp multicast(ssdp), torrent,ipv6 multicast и прочая ботва генерируемая виндами и некоторыми приложениями. Она проявляется лавинно. в зависимости с тем что у вас на доступе можно это вырезать. Вставить ник Quote
Valaskor Posted July 22, 2010 Author Posted July 22, 2010 (edited) Это разные пакеты, например tcp к web-серверу, т.е. протоколы которые к мультикасту не имеют никакого отношения. Полагаю, протоколы тут вообще не при чем, проблема находится на 3м уровне сетевой модели. Навскидку, большинство ретрансляторов роутеры, например dir-100. Edited July 22, 2010 by Valaskor Вставить ник Quote
Deac Posted July 22, 2010 Posted July 22, 2010 приложите дамп К больному месту! :) Вставить ник Quote
Frau Posted July 22, 2010 Posted July 22, 2010 приложите дамп К больному месту! :) ысь ))) можно и сюда приаттачить) просто довольно сложно сказать без дампов как тсп превращается в мультикаст.. Вставить ник Quote
Valaskor Posted July 22, 2010 Author Posted July 22, 2010 (edited) Дамп я не снял, а источник уже замочили. (В смысле отключили, не подумайте чего:) Как превращается в мультикаст у меня есть предположение - у пользователя в качестве дефолта стоит мультикастовый адрес, уж не знаю как у него такое получилось. Ну или любой школьник может собрать такой пакет в вайршарке. В общем это не важно. Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100. Edited July 22, 2010 by Valaskor Вставить ник Quote
mukca Posted July 22, 2010 Posted July 22, 2010 Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100. о глюках прошивок этих безобидных хреней ходят легенды Вставить ник Quote
ingress Posted July 22, 2010 Posted July 22, 2010 вскрывал длинк по этому поводу(схемы, дампы...), отморозились и ничего не поймали. на последней прошивке вроде не проявляется. Вставить ник Quote
Mic Posted July 22, 2010 Posted July 22, 2010 Да Dir 100 адский девайс, у нас 6-8 штук организовали syn flood на vpn сервер. Никто сессию с ним установить не мог пока не побанили всех. Вставить ник Quote
s.lobanov Posted July 22, 2010 Posted July 22, 2010 для защиты от syn-flood'а на сервере достаточно пары правил в iptables, не надо никого банить Вставить ник Quote
Mic Posted July 23, 2010 Posted July 23, 2010 Только вот vpn был на кошке 72 серии, а tcp intercept как-то неочень справился. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.