Jump to content
Калькуляторы

Unicast Storm огромное количество исходящего траффика

Доброго времени суток.

Появилась проблема в сети. Некоторые пользователи генерируют огромное количество уникаст трафика, при этом так как я админю удаленно естественно теряется управление. Благо есть резервный канал через который попадаю в сеть управлению. Дабы отловить данного пользователя приходится гасить vlan и смотреть по счетчикам на портах пользователей. Сеть не маленькая поэтому сильно утомляет.

 

Возможно кто нибудь посоветует мне какой механизм защиты применить.Заранее спасибо.

Share this post


Link to post
Share on other sites

Торэнты батенька торэнты .

Нет не торренты. Траффик уникастовый, скорее всего вирусы. Возможности в слежении за компьютерами пользователей нет. Вот и нужен какой нибудь механизм защиты, железки умные OS6224.

Share this post


Link to post
Share on other sites

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

Share this post


Link to post
Share on other sites

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

Share this post


Link to post
Share on other sites

1. Настроить QoS, что бы не терять управление.

2. Снять дамп трафика и посмотреть, что же там всё-таки идёт.

3. Поставить систему мониторинга, которая сама будет смотреть, настроить трешхолды. Далее скрипты.

QoS сеть L2. В сеть управления могу зайти через резервный маршрут.

Дамп трафика показал что генерируются DNS запросы.

 

А может две сетевушки с одним и темже мак адресом у нас одна трафик какойто непонятный генерировала и сеть ложилась .

 

Сейчас будите говорить что такого невозможно чтоб 2 сетевушки с одним маком были. Но сам видел и трогал и чувствовал и было именно так .

На свичах защита от loop detection до IP source guard.

Т.е. пользователь даже IP себе прописать не может.

Share this post


Link to post
Share on other sites

А, так это Вы генерите (в том числе и) ко мне 5к DNS запросов в секунду от имени тех, которых я вижу у себя в логах? Сначала заткните возможность использовать чужие src.

Share this post


Link to post
Share on other sites

storm control только не тестил еще, как думаете поможет?

Share this post


Link to post
Share on other sites

svenk

Ну генерит кто-то много юникаста и что? Если src и dst маки есть в таблице коммутации, то коммутаторам как бы пофиг что там за трафик. Обычно, юникаст-штормом считается трафик, который оказывает влияние на CPU или флудит по портам(т.е. с неизвестным src/dst мак или вызывающий флаппинг мака).

Или у вас получается большой pps и загибается софтроутер, который терминирует или форвардит это безобразие? Если проблема в pps, то некоторые свитчи умеют резать pps на порту, может и ваши это умеют

Share this post


Link to post
Share on other sites

ДНС запросы мелкие.. и их много. Ответы на них должны угасить "счастливчика" Потому их будет много. очень много. UDP с левым src. Никакие фильтры и шейпы потом не влияют на вылет пакетов. Вылатать они будут на скорости генерации программой. Такое толь ко дропать как можно ближе к источнику. Причем лучше сразу по левому src ip. Ну и по количеству.

Share this post


Link to post
Share on other sites

Сеть огромная, технология ETTB, оборудование Alcatel OS6224 доступа и аггрегирующие тоже Alcatel OS6850 с поддержкой роутинга. Сеть доступа основана на vlan на уровне распределения L3. Железки хорошие а вот DNS не выдерживает. Можно что-нибудь на доступе накрутить чтобы избавиться от трафика.

Edited by svenk

Share this post


Link to post
Share on other sites

Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ?

Share this post


Link to post
Share on other sites

так это ваша сетка ложит сайты МВД и СБУ на Украине ?? ))

Share this post


Link to post
Share on other sites

Ну так поймайте несколько пакетов, загляните внутрь. Че там ? Массовый ресолв MXов ? Массовый отсыл запросов с левых IP ? Вообще мусор ?

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал. Т.е. Растет исходящий траффик и запросы от других пользователей не проходят. Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же. Защитить днс путем ограничения числа запросов от одного пользователя? или что. А может все таки что то на доступе можно сделать?

 

так это ваша сетка ложит сайты МВД и СБУ на Украине ?? ))

Нет не моя сеть)

Edited by svenk

Share this post


Link to post
Share on other sites

ну так может отключить этих юзеров ?? до выяснения обстоятельств ?

Share this post


Link to post
Share on other sites

ну так может отключить этих юзеров ?? до выяснения обстоятельств ?

Так это и делается, но скажем так неохота чтобы ночью беспокоили по данной проблеме поэтому хочу как то избавиться от этой нее.

Edited by svenk

Share this post


Link to post
Share on other sites

внутрь пакета то загляините ? Если src пакеты Ваши, то что в них ? И почему в них нет ответов ? Вообще троянов искать абонентов отправить треба..

Share this post


Link to post
Share on other sites

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

Share this post


Link to post
Share on other sites

Походу придется делать все по старому, находить и гасить порты. Еще придется покопаться в ДНС уменьшить количество запросов от одного юзверя.

Share this post


Link to post
Share on other sites

Нет не торренты. Траффик уникастовый, скорее всего вирусы.

Торренты тоже используют юникаст :)

Броадкаст и мультикаст по умолчанию вообще не маршрутизируются.

 

Пакеты проснифены туева куча днс запросов с внутренних IP он ложит весь канал.

Т.е. Растет исходящий траффик и запросы от других пользователей не проходят.

Чтобы управление не терять зарезал на маршрутизаторе исходящую скорость но все же.

Защитить днс путем ограничения числа запросов от одного пользователя? или что.

А может все таки что то на доступе можно сделать?

Я бы на Интернет-шлюзе сделал белый список для обращений наружу к 53 порту и запрет по умолчанию.

Более изящный вариант - http://sources.homelink.ru/spamblock/ с заменой "tcp and port 25" на "udp and port 53".

Тут и автоматическая блокировка, и уведомления.

 

У меня такая же беда. С начала ДНСы стали спотыкаться, поменял bind на unbound, теперь бордер мрет. Что с этой заразой делать, неясно.

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

Share this post


Link to post
Share on other sites

 

Отчего он мрёт? Процессор не справляется? Сетевые карты нормальные? Какие значения bps/pps?

Во время атак на УльтраКомп у меня на ДНС-сервер шёл флуд по 40-50 мегабит в секунду, но ничего не мёрло.

 

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Share this post


Link to post
Share on other sites

Да процессор не справляется, не расчитывали на такой скаче нагрузки. Сейчас другое железо подбираем.

Сетевые карты какие?

Нагрузки какие?

Share this post


Link to post
Share on other sites

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS----междугородний канал---мир. Можно ли на доступе ограничить PPS от абонента. Я склоняюсь к варианту установить rate-limit на исходящий траффик.

Share this post


Link to post
Share on other sites

Сеть находится в другом городе, пользователи подключаются через PPTP. Т.е.абонент---сеть доступа(ethernet)---узел агрегации----BRAS

Т.е. узел агрегации и БРАС в разных городах?

Вариант с выносом мини-БРАС или фильтрующего шлюза на узел агрегации не рассматривается?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this