Jump to content
Калькуляторы

Противодействие udp сканам Как?

Доброго времени суток!

 

Не знаю, это только нам повезло или нет, но в последнее время на клиентов с выделенным статическим белым адресом, время от времени, валят udp потоки. Клиенты терминируюся на "старенькой" Cisco7200 NPE-G1, которой становится дурно от таких потоков.

post-57543-1288114128_thumb.png

Выглядит это например так (из свеженького):

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/1.22      87.251.152.253  Gi0/2.514     87.xx.xx.38   11 B6B7 4F8F    23K
Gi0/1.22      89.112.2.234    Gi0/2.514     87.xx.xx.38   11 8865 4F8F    17K
Gi0/1.22      62.176.15.23    Gi0/2.514     87.xx.xx.38   11 FBF6 4F8F    12K
Gi0/1.22      109.185.138.135 Gi0/2.514     87.xx.xx.38   11 9EC6 4F8F    10K
Gi0/1.22      46.73.166.16    Gi0/2.514     87.xx.xx.38   11 F13F 4F8F    10K

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/1.22      94.247.169.215  Null          81.xx.xx.156   11 1413 13C4    13K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.184   11 1411 13C4    13K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.184   11 1401 13C4    12K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.191   11 1414 13C4    12K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.7     11 1409 13C4    12K
Gi0/1.22      94.247.169.215  Local         81.xx.xx.189   11 1415 13C4    12K
Gi0/1.22      94.247.169.215  Local         81.xx.xx.25    11 13CB 13C4    12K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.60    11 13D0 13C4    11K
Gi0/1.22      94.247.169.215  Null          81.xx.xx.16    11 13E2 13C4    11K

CPU utilization for five seconds: 91%/31%; one minute: 95%; five minutes: 97%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process 
161   211755724 277772211        762 31.49% 33.53% 35.76%   0 CCSIP_SPI_CONTRO 
163   137902844 504209111        273 20.70% 20.10% 20.02%   0 CCSIP_UDP_SOCKET 
  68   126378036 794541609        159  6.03%  6.69%  5.71%   0 IP Input

С sip сканами более-менее ясно (Amazon EC2 - большой и пламенный!), но возможно ли с ними как-то бороться? А просто всплески udp активности? uTP? бОльшая часть клиентов на данном рутере - юрики, торрентом конечно могут пользоваться, но тогда и повышенная нагрузка возникала бы чаще.

 

P.S.: ясно, что самый простой способ решения проблемы - замена рутера на более мощный, но это же не спортивно :) Еще как вариант зарезать полосу на udp, но не будет ли негативного влияния на честных пользователей udp протокола?

Share this post


Link to post
Share on other sites
просто всплески udp активности? uTP? бОльшая часть клиентов на данном рутере - юрики, торрентом конечно могут пользоваться, но тогда и повышенная нагрузка возникала бы чаще.
Новые серии не каждый день выходят :)

Поищите закономерности по времени за месяц, если пакеты разбирать не хотите.

Share this post


Link to post
Share on other sites

Фильтровать uTP протокол пробовали, по рекомендациям в теме про торренты?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this