Valaskor Опубликовано 22 июля, 2010 · Жалоба Сия сущьность состоит из огромного количества мультикаст-пакетов следующего содержания: src-mac - разные мак-адреса честных абонентов dst-mac - один и тот же мултикастовый мак (который выставил "родоначальник" лавины) src-ip - ip зачинщика dst-ip - один или несколько адресов адресов за пределами подсети. ttl - разный Как я понимаю, "начальный подозреваемый" в следствие глюка ПО или злого умысла посылает пакеты, в которых вместо мака шлюза стоит мультикастовый мак. Этот пакет ловят хосты (или soho-роутеры, я еще не определил, кто подвержен) по подсети, и посылают назад с уменьшенным ттл и, почему то, тем же мультикастовым dst-mac. В результате имеем шторм "со всех сторон", который ловится только tcpdump-ом и только если удастся найти данные по src-ip. Кто сталкивался и разбирался подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 22 июля, 2010 · Жалоба а можно пример пакетов которые вы ловите? Я могу предположить что это upnp multicast(ssdp), torrent,ipv6 multicast и прочая ботва генерируемая виндами и некоторыми приложениями. Она проявляется лавинно. в зависимости с тем что у вас на доступе можно это вырезать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 22 июля, 2010 (изменено) · Жалоба Это разные пакеты, например tcp к web-серверу, т.е. протоколы которые к мультикасту не имеют никакого отношения. Полагаю, протоколы тут вообще не при чем, проблема находится на 3м уровне сетевой модели. Навскидку, большинство ретрансляторов роутеры, например dir-100. Изменено 22 июля, 2010 пользователем Valaskor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 22 июля, 2010 · Жалоба приложите дамп Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 22 июля, 2010 · Жалоба приложите дамп К больному месту! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 22 июля, 2010 · Жалоба приложите дамп К больному месту! :) ысь ))) можно и сюда приаттачить) просто довольно сложно сказать без дампов как тсп превращается в мультикаст.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 22 июля, 2010 (изменено) · Жалоба Дамп я не снял, а источник уже замочили. (В смысле отключили, не подумайте чего:) Как превращается в мультикаст у меня есть предположение - у пользователя в качестве дефолта стоит мультикастовый адрес, уж не знаю как у него такое получилось. Ну или любой школьник может собрать такой пакет в вайршарке. В общем это не важно. Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100. Изменено 22 июля, 2010 пользователем Valaskor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 22 июля, 2010 · Жалоба Вопрос почему происходит ретрансляция от абонентов, что и порождает лавину. Кстати пока у всех ретрансляторов, кого нашли, стояли "безобидные" DIR-100. о глюках прошивок этих безобидных хреней ходят легенды Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 22 июля, 2010 · Жалоба вскрывал длинк по этому поводу(схемы, дампы...), отморозились и ничего не поймали. на последней прошивке вроде не проявляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mic Опубликовано 22 июля, 2010 · Жалоба Да Dir 100 адский девайс, у нас 6-8 штук организовали syn flood на vpn сервер. Никто сессию с ним установить не мог пока не побанили всех. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июля, 2010 · Жалоба для защиты от syn-flood'а на сервере достаточно пары правил в iptables, не надо никого банить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mic Опубликовано 23 июля, 2010 · Жалоба Только вот vpn был на кошке 72 серии, а tcp intercept как-то неочень справился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...