Jump to content

Unicast Storm

svenk
 Share

Recommended Posts

svenk

svenk

Posted
Posted

Доброго времени суток.

Появилась проблема в сети. Некоторые пользователи генерируют огромное количество уникаст трафика, при этом так как я админю удаленно естественно теряется управление. Благо есть резервный канал через который попадаю в сеть управлению. Дабы отловить данного пользователя приходится гасить vlan и смотреть по счетчикам на портах пользователей. Сеть не маленькая поэтому сильно утомляет.

 

Возможно кто нибудь посоветует мне какой механизм защиты применить.Заранее спасибо.

svenk

svenk

Posted
  • Author
Posted

Торэнты батенька торэнты .

Нет не торренты. Траффик уникастовый, скорее всего вирусы. Возможности в слежении за компьютерами пользователей нет. Вот и нужен какой нибудь механизм защиты, железки умные OS6224.

Shiva

Shiva

Posted
Posted

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

мишаня сучков

мишаня сучков

Posted
Posted

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

svenk

svenk

Posted
  • Author
Posted

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

QoS сеть L2. В сеть управления могу зайти через резервный маршрут.

Дамп трафика показал что генерируются DNS запросы.

 

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

На свичах защита от loop detection до IP source guard.

Т.е. пользователь даже IP себе прописать не может.

st_re

st_re

Posted
Posted

А, так это Вы генерите (в том числе и) ко мне 5к DNS запросов в секунду от имени тех, которых я вижу у себя в логах? Сначала заткните возможность использовать чужие src.

s.lobanov

s.lobanov

Posted
Posted

svenk

Ну генерит кто-то много юникаста и что? Если src и dst маки есть в таблице коммутации, то коммутаторам как бы пофиг что там за трафик. Обычно, юникаст-штормом считается трафик, который оказывает влияние на CPU или флудит по портам(т.е. с неизвестным src/dst мак или вызывающий флаппинг мака).

Или у вас получается большой pps и загибается софтроутер, который терминирует или форвардит это безобразие? Если проблема в pps, то некоторые свитчи умеют резать pps на порту, может и ваши это умеют

st_re

st_re

Posted
Posted

ДНС запросы мелкие.. и их много. Ответы на них должны угасить "счастливчика" Потому их будет много. очень много. UDP с левым src. Никакие фильтры и шейпы потом не влияют на вылет пакетов. Вылатать они будут на скорости генерации программой. Такое толь ко дропать как можно ближе к источнику. Причем лучше сразу по левому src ip. Ну и по количеству.

svenk

svenk

Posted
  • Author
Posted (edited)

Сеть огромная, технология ETTB, оборудование Alcatel OS6224 доступа и аггрегирующие тоже Alcatel OS6850 с поддержкой роутинга. Сеть доступа основана на vlan на уровне распределения L3. Железки хорошие а вот DNS не выдерживает. Можно что-нибудь на доступе накрутить чтобы избавиться от трафика.

Edited by svenk
svenk

svenk

Posted
  • Author
Posted (edited)

Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ?

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал. Т.е. Растет исходящий траффик и запросы от других пользователей не проходят. Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же. Защитить днс путем ограничения числа запросов от одного пользователя? или что. А может все таки что то на доступе можно сделать?

 

так это ваша сетка ложит сайты МВД и СБУ на Украине ?? ))

Нет не моя сеть)

Edited by svenk
svenk

svenk

Posted
  • Author
Posted (edited)

ну так может отключить этих юзеров ?? до выяснения обстоятельств ?

Так это и делается, но скажем так неохота чтобы ночью беспокоили по данной проблеме поэтому хочу как то избавиться от этой нее.

Edited by svenk
st_re

st_re

Posted
Posted

внутрь пакета то загляините ? Если src пакеты Ваши, то что в них ? И почему в них нет ответов ? Вообще троянов искать абонентов отправить треба..

orca

orca

Posted
Posted

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

svenk

svenk

Posted
  • Author
Posted

Походу придется делать все по старому, находить и гасить порты. Еще придется покопаться в ДНС уменьшить количество запросов от одного юзверя.

Ilya Evseev

Ilya Evseev

Posted
Posted

Нет не торренты. Траффик уникастовый, скорее всего вирусы.

Торренты тоже используют юникаст :)

Броадкаст и мультикаст по умолчанию вообще не маршрутизируются.

 

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал.

Т.е. Растет исходящий траффик и запросы от других пользователей не проходят.

Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же.

Защитить днс путем ограничения числа запросов от одного пользователя? или что.

А может все таки что то на доступе можно сделать?

Я бы на Интернет-шлюзе сделал белый список для обращений наружу к 53 порту и запрет по умолчанию.

Более изящный вариант - http://sources.homelink.ru/spamblock/ с заменой "tcp and port 25" на "udp and port 53".

Тут и автоматическая блокировка, и уведомления.

 

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

orca

orca

Posted
Posted

 

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

 

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Ilya Evseev

Ilya Evseev

Posted
Posted

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Сетевые карты какие?

Нагрузки какие?

svenk

svenk

Posted
  • Author
Posted

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS----междугородний канал---мир. Можно ли на доступе ограничить PPS от абонента. Я склоняюсь к варианту установить rate-limit на исходящий траффик.

Ilya Evseev

Ilya Evseev

Posted
Posted

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS

Т.е. узел агрегации и БРАС в разных городах?

Вариант с выносом мини-БРАС или фильтрующего шлюза на узел агрегации не рассматривается?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.