svenk Опубликовано 5 февраля, 2012 · Жалоба Доброго времени суток. Появилась проблема в сети. Некоторые пользователи генерируют огромное количество уникаст трафика, при этом так как я админю удаленно естественно теряется управление. Благо есть резервный канал через который попадаю в сеть управлению. Дабы отловить данного пользователя приходится гасить vlan и смотреть по счетчикам на портах пользователей. Сеть не маленькая поэтому сильно утомляет. Возможно кто нибудь посоветует мне какой механизм защиты применить.Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
мишаня сучков Опубликовано 5 февраля, 2012 · Жалоба Торэнты батенька торэнты . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 · Жалоба Торэнты батенька торэнты . Нет не торренты. Траффик уникастовый, скорее всего вирусы. Возможности в слежении за компьютерами пользователей нет. Вот и нужен какой нибудь механизм защиты, железки умные OS6224. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 5 февраля, 2012 · Жалоба 1. Настроить QoS, что бы не терять управление. 2. Снять дамп трафика и посмотреть, что же там всё-таки идёт. 3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
мишаня сучков Опубликовано 5 февраля, 2012 · Жалоба А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась . Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 · Жалоба 1. Настроить QoS, что бы не терять управление. 2. Снять дамп трафика и посмотреть, что же там всё-таки идёт. 3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты. QoS сеть L2. В сеть управления могу зайти через резервный маршрут. Дамп трафика показал что генерируются DNS запросы. А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась . Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так . На свичах защита от loop detection до IP source guard. Т.е. пользователь даже IP себе прописать не может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 февраля, 2012 · Жалоба А, так это Вы генерите (в том числе и) ко мне 5к DNS запросов в секунду от имени тех, которых я вижу у себя в логах? Сначала заткните возможность использовать чужие src. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 · Жалоба storm control только не тестил еще, как думаете поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 5 февраля, 2012 · Жалоба svenk Ну генерит кто-то много юникаста и что? Если src и dst маки есть в таблице коммутации, то коммутаторам как бы пофиг что там за трафик. Обычно, юникаст-штормом считается трафик, который оказывает влияние на CPU или флудит по портам(т.е. с неизвестным src/dst мак или вызывающий флаппинг мака). Или у вас получается большой pps и загибается софтроутер, который терминирует или форвардит это безобразие? Если проблема в pps, то некоторые свитчи умеют резать pps на порту, может и ваши это умеют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 февраля, 2012 · Жалоба ДНС запросы мелкие.. и их много. Ответы на них должны угасить "счастливчика" Потому их будет много. очень много. UDP с левым src. Никакие фильтры и шейпы потом не влияют на вылет пакетов. Вылатать они будут на скорости генерации программой. Такое толь ко дропать как можно ближе к источнику. Причем лучше сразу по левому src ip. Ну и по количеству. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 (изменено) · Жалоба Сеть огромная, технология ETTB, оборудование Alcatel OS6224 доступа и аггрегирующие тоже Alcatel OS6850 с поддержкой роутинга. Сеть доступа основана на vlan на уровне распределения L3. Железки хорошие а вот DNS не выдерживает. Можно что-нибудь на доступе накрутить чтобы избавиться от трафика. Изменено 5 февраля, 2012 пользователем svenk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 февраля, 2012 · Жалоба Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 5 февраля, 2012 · Жалоба так это ваша сетка ложит сайты МВД и СБУ на Украине ?? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 (изменено) · Жалоба Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ? Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал. Т.е. Растет исходящий траффик и запросы от других пользователей не проходят. Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же. Защитить днс путем ограничения числа запросов от одного пользователя? или что. А может все таки что то на доступе можно сделать? так это ваша сетка ложит сайты МВД и СБУ на Украине ?? )) Нет не моя сеть) Изменено 5 февраля, 2012 пользователем svenk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 5 февраля, 2012 · Жалоба ну так может отключить этих юзеров ?? до выяснения обстоятельств ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 5 февраля, 2012 (изменено) · Жалоба ну так может отключить этих юзеров ?? до выяснения обстоятельств ? Так это и делается, но скажем так неохота чтобы ночью беспокоили по данной проблеме поэтому хочу как то избавиться от этой нее. Изменено 5 февраля, 2012 пользователем svenk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 февраля, 2012 · Жалоба внутрь пакета то загляините ? Если src пакеты Ваши, то что в них ? И почему в них нет ответов ? Вообще троянов искать абонентов отправить треба.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 6 февраля, 2012 · Жалоба Заверните все DNS запросы на ваш сервер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orca Опубликовано 6 февраля, 2012 · Жалоба У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 6 февраля, 2012 · Жалоба Походу придется делать все по старому, находить и гасить порты. Еще придется покопаться в ДНС уменьшить количество запросов от одного юзверя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 6 февраля, 2012 · Жалоба Нет не торренты. Траффик уникастовый, скорее всего вирусы. Торренты тоже используют юникаст :) Броадкаст и мультикаст по умолчанию вообще не маршрутизируются. Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал. Т.е. Растет исходящий траффик и запросы от других пользователей не проходят. Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же. Защитить днс путем ограничения числа запросов от одного пользователя? или что. А может все таки что то на доступе можно сделать? Я бы на Интернет-шлюзе сделал белый список для обращений наружу к 53 порту и запрет по умолчанию. Более изящный вариант - http://sources.homelink.ru/spamblock/ с заменой "tcp and port 25" на "udp and port 53". Тут и автоматическая блокировка, и уведомления. У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно. Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps? Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orca Опубликовано 7 февраля, 2012 · Жалоба Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps? Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло. Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 7 февраля, 2012 · Жалоба Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем. Сетевые карты какие? Нагрузки какие? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 7 февраля, 2012 · Жалоба Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS----междугородний канал---мир. Можно ли на доступе ограничить PPS от абонента. Я склоняюсь к варианту установить rate-limit на исходящий траффик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 7 февраля, 2012 · Жалоба Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS Т.е. узел агрегации и БРАС в разных городах? Вариант с выносом мини-БРАС или фильтрующего шлюза на узел агрегации не рассматривается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...