Перейти к содержимому
Калькуляторы

Unicast Storm огромное количество исходящего траффика

Доброго времени суток.

Появилась проблема в сети. Некоторые пользователи генерируют огромное количество уникаст трафика, при этом так как я админю удаленно естественно теряется управление. Благо есть резервный канал через который попадаю в сеть управлению. Дабы отловить данного пользователя приходится гасить vlan и смотреть по счетчикам на портах пользователей. Сеть не маленькая поэтому сильно утомляет.

 

Возможно кто нибудь посоветует мне какой механизм защиты применить.Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Торэнты батенька торэнты .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Торэнты батенька торэнты .

Нет не торренты. Траффик уникастовый, скорее всего вирусы. Возможности в слежении за компьютерами пользователей нет. Вот и нужен какой нибудь механизм защиты, железки умные OS6224.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

QoS сеть L2. В сеть управления могу зайти через резервный маршрут.

Дамп трафика показал что генерируются DNS запросы.

 

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

На свичах защита от loop detection до IP source guard.

Т.е. пользователь даже IP себе прописать не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А, так это Вы генерите (в том числе и) ко мне 5к DNS запросов в секунду от имени тех, которых я вижу у себя в логах? Сначала заткните возможность использовать чужие src.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

storm control только не тестил еще, как думаете поможет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

svenk

Ну генерит кто-то много юникаста и что? Если src и dst маки есть в таблице коммутации, то коммутаторам как бы пофиг что там за трафик. Обычно, юникаст-штормом считается трафик, который оказывает влияние на CPU или флудит по портам(т.е. с неизвестным src/dst мак или вызывающий флаппинг мака).

Или у вас получается большой pps и загибается софтроутер, который терминирует или форвардит это безобразие? Если проблема в pps, то некоторые свитчи умеют резать pps на порту, может и ваши это умеют

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ДНС запросы мелкие.. и их много. Ответы на них должны угасить "счастливчика" Потому их будет много. очень много. UDP с левым src. Никакие фильтры и шейпы потом не влияют на вылет пакетов. Вылатать они будут на скорости генерации программой. Такое толь ко дропать как можно ближе к источнику. Причем лучше сразу по левому src ip. Ну и по количеству.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть огромная, технология ETTB, оборудование Alcatel OS6224 доступа и аггрегирующие тоже Alcatel OS6850 с поддержкой роутинга. Сеть доступа основана на vlan на уровне распределения L3. Железки хорошие а вот DNS не выдерживает. Можно что-нибудь на доступе накрутить чтобы избавиться от трафика.

Изменено пользователем svenk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так это ваша сетка ложит сайты МВД и СБУ на Украине ?? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ?

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал. Т.е. Растет исходящий траффик и запросы от других пользователей не проходят. Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же. Защитить днс путем ограничения числа запросов от одного пользователя? или что. А может все таки что то на доступе можно сделать?

 

так это ваша сетка ложит сайты МВД и СБУ на Украине ?? ))

Нет не моя сеть)

Изменено пользователем svenk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так может отключить этих юзеров ?? до выяснения обстоятельств ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так может отключить этих юзеров ?? до выяснения обстоятельств ?

Так это и делается, но скажем так неохота чтобы ночью беспокоили по данной проблеме поэтому хочу как то избавиться от этой нее.

Изменено пользователем svenk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

внутрь пакета то загляините ? Если src пакеты Ваши, то что в них ? И почему в них нет ответов ? Вообще троянов искать абонентов отправить треба..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заверните все DNS запросы на ваш сервер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Походу придется делать все по старому, находить и гасить порты. Еще придется покопаться в ДНС уменьшить количество запросов от одного юзверя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет не торренты. Траффик уникастовый, скорее всего вирусы.

Торренты тоже используют юникаст :)

Броадкаст и мультикаст по умолчанию вообще не маршрутизируются.

 

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал.

Т.е. Растет исходящий траффик и запросы от других пользователей не проходят.

Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же.

Защитить днс путем ограничения числа запросов от одного пользователя? или что.

А может все таки что то на доступе можно сделать?

Я бы на Интернет-шлюзе сделал белый список для обращений наружу к 53 порту и запрет по умолчанию.

Более изящный вариант - http://sources.homelink.ru/spamblock/ с заменой "tcp and port 25" на "udp and port 53".

Тут и автоматическая блокировка, и уведомления.

 

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

 

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Сетевые карты какие?

Нагрузки какие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS----междугородний канал---мир. Можно ли на доступе ограничить PPS от абонента. Я склоняюсь к варианту установить rate-limit на исходящий траффик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS

Т.е. узел агрегации и БРАС в разных городах?

Вариант с выносом мини-БРАС или фильтрующего шлюза на узел агрегации не рассматривается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.