[bodyam]

Например у вас там 2 сетевых порта, по одному вход большой исход маленький, по другому наоборот - вход маленький исход большой, то есть данные транзитом идут. А по одному порту по одному направлению идет трафик, который никуда не выходит. Проверить что и как можно с помощью кнопки Torch по сомнительному интерфейсу, в нем ставите все 6 галочек и жмете старт, смотрите что за трафик идет. Бывает например ДНС не закрыт извне и через него атака идет, что и занимает ресурсы процессора.

Вы говорите о 7,8 эзернете? У меня роздача на них. У 3,4 - подключены бриджы на другие МТ, через 5 порт уходит интернет. "А по одному порту по одному направлению идет трафик, который никуда не выходит" это который порт, ничего не вижу, не понимаю ((

[bodyam]

В чем может быть дело? Что с этим микротиком не так? Может EdgeRouter от Ubiquity купить, он походу лучше с пакетами рулит. Ато люди у меня уже неделю мучатся.

Когда проц на 100% пинги идут, но вот подключится никак немогу, ни винбокс ни ссаш. Посоветуйте что-нибуть!

 

Вот еще скрин, там где проц под 92% в тот период дня, направление из езернет4 было отключено полностью, так я смотрю проц на 50% добавляет. Вчера вечером с 22:00 до 23:00 тоже самое, сегодня опять повтор..

 

Изменено 4 июня, 2014 пользователем bodyam

[Saab95]

Ну так посмотрите какой трафик по каким адресам и в каком количестве бегает в эти моменты, попробуйте шейпер отключить, если используете, или изменить в нем тип буфера на PCQ.

[bodyam]

Ну так посмотрите какой трафик по каким адресам и в каком количестве бегает в эти моменты, попробуйте шейпер отключить, если используете, или изменить в нем тип буфера на PCQ.

Я немогу поймать эти моменты, так как мне нужно ехать за много км, чтоб подключится локально, удаленно меня не пускает присоединится к микротику, проц на 100% ничего сделать не дает ((

[Ferdin]

у нас тоже были проблемы с RB750 постоянно зависает и грузит проц. не удачная модель, меняйте на RB750GL или RB951G/U-2HnD

[Saab95]

Я немогу поймать эти моменты, так как мне нужно ехать за много км, чтоб подключится локально, удаленно меня не пускает присоединится к микротику, проц на 100% ничего сделать не дает ((

 

Микротик может снифать пакеты и отправлять их по IP на удаленный компьютер. Соответственно момент возникновения проблемы, пока еще процессор не ушел в полную загрузку сможете увидеть.

[bodyam]

Я немогу поймать эти моменты, так как мне нужно ехать за много км, чтоб подключится локально, удаленно меня не пускает присоединится к микротику, проц на 100% ничего сделать не дает ((

 

Микротик может снифать пакеты и отправлять их по IP на удаленный компьютер. Соответственно момент возникновения проблемы, пока еще процессор не ушел в полную загрузку сможете увидеть.

Сегодня был в раёне микротика, когда он начал виснуть, приехав за 10 минут к тику (так как удаленно никак не мог присоединится) локально воткнул в свободный порт и.. то самое, не могу (винбокс даже не сканирует его) присоединится, другие РБ видно, а тот что надо висит, отключил входной интернет кабель (выключил питание медиаконвертера) тогда смог попасть на микротик, только включил медик, как меня бортонуло из РБ. Опять вынуд шнур питания из медика - зашел на ТИК, воткнул - аут. Потом вынул езернет что приходит из одной деревни, включил все (и медик и втыкнул на место эзернет) и аж тогда я попал на ТИК, с интернетом. Вопрос, или медик (СФП) или из деревни ктото чемто засоряет, но у меня там есть ТИК (450дж) в роли шлюза, почему его не грузит? Какие еще предложения будут? Кто что посоветует?

[Saab95]

Надо посмотреть что творится. Возможно где-то порт флудит и т.п. Если 450 не виснет, надо посмотреть какой трафик через него ходит во время зависания первого.

[bodyam]

Надо посмотреть что творится. Возможно где-то порт флудит и т.п. Если 450 не виснет, надо посмотреть какой трафик через него ходит во время зависания первого.

DDos атака .. счас несколько скринов покажу. Ели зацепил, как бы узнать вредителя???

 

 

Помогите поймать вредителя!!!

[Saab95]

Так у вас же адрес указан - смотрите по ARP его мак, далее ищите, куда этот мак идет. На микротике если зайти в меню bridge - hosts можно ввести его в поле вверху, он покажет номер порта, где этот мак живет, далее по цепочке находите кабель абонента, или радиоточку.

[bodyam]

Так у вас же адрес указан - смотрите по ARP его мак, далее ищите, куда этот мак идет. На микротике если зайти в меню bridge - hosts можно ввести его в поле вверху, он покажет номер порта, где этот мак живет, далее по цепочке находите кабель абонента, или радиоточку.

так что вы считаете что это внутренний "вредитель"?

Нет, на одном из скринов видно, я поотключал все эзернет порты по которых идет связь на другие тики, оставил толко эзер1, на него приходит интернет, и что или кто мог сгенерировать 5-10 мб трафика (icmp) протокол. Потом я прописал все правила чтоб закрыть все что лезет, вот отсюда http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script . И вроде успокоилось, но все таки наблюдаю небольшые нагрузки на процессор (срабатывает фаервол). Как бы снять еще нагрузку, можна ли совсем закрыть конкретный порт без вреда для себя или как поймать того кто флудит?

[Saab95]

Если у вас флуд с инета, тогда нужно поставить еще один микротик, в разрез канала, и на нем осуществлять фильтрацию всего лишнего. Никакой другой работой он заниматься не будет, поэтому загрузка его процессора не сильно будет отражаться на производительности и задержках.

[bodyam]

Если у вас флуд с инета, тогда нужно поставить еще один микротик, в разрез канала, и на нем осуществлять фильтрацию всего лишнего. Никакой другой работой он заниматься не будет, поэтому загрузка его процессора не сильно будет отражаться на производительности и задержках.

Есть ли пример как это все правильно сделать? (Практически я так и сделал)

А как насчет вычислить того кто флудит с интернета? Реально ли и каким методом?

После прописаных правил фаервола, вчера наблюдал затишье, никто не флудил..

Изменено 14 июня, 2014 пользователем bodyam

[Saab95]

Ставите железку, отключаете Connection Tracking, 2 порта в бридж. Ставите галочку на бридже Use IP Firewall и фильтруете себе на здоровье трафик.

[bodyam]

Ставите железку, отключаете Connection Tracking, 2 порта в бридж. Ставите галочку на бридже Use IP Firewall и фильтруете себе на здоровье трафик.

может у вас естьзаписан уже готовый фильтр (самое необходимое) чтоб что-нибудь не упустить.

И все ж у меня вопрос, кто может поймать вредителя, как можно вычислить откуда идет флуд?

[Saab95]

может у вас естьзаписан уже готовый фильтр (самое необходимое) чтоб что-нибудь не упустить.

И все ж у меня вопрос, кто может поймать вредителя, как можно вычислить откуда идет флуд?

 

Нет, ничего готового нет, все создается по месту путем сканирования трафика.