[grifin.ru]

Ввиду того что опыт провайдерства ограничен телематикой и телефонией, никогда не приходилось сталкиваться с этим, но знаю что магистралы и ососбенно проавйдеры последней мили сталкивались с таким глюком, как флуд сетевой карты. У меня происходит собственно вот что:

Есть небольшой офис в бизнес центре, туда провайдер дает медь (один конец). В эту медь он загнал 2 Влана, один тегированный, другой нетегированный.

В тегированнный он дал мне несколько серых IPшников соответственно шлюз тоже серый, а в нетегированный один белый IP (соответственно и шлюз тоже реальный)

Я это к тому рассказал, что бы не было вопросов про кольцо и пр, на стороне провайдера вланы включен как мы видим в разные маршрутизаторы.

Ширина канала всего 2мбита (это может быть важно)

Собственно, этот конец я вставляю в Dlink DES-2108 И развожу тегированный Влан на один порт (превращая его в нетегированный) а на другой порт собственно нетегированный влан.

В результате от тегов и виланов избавились, получили по сути два канала до провайдера через один провод. Как я себе представляю - каналы получились полностью изолированными друг от друга, т.к. пока они в одном проводе они в разных виланах, ан строне провайдера они в разных маршрутизаторах, на мой стороне они в двух физически разных портах.

Теперь дальше. Включаю я в тот порт где фейковые айпишники компьютер, интернет работает, пинги стабильные, 2 мс. Больше ничего не подключено, один компьютер.

Если в этот момент включить в другой канал (где реальный айпишник) сервер, то пинги быстро растут, до сначала до сотен, потом до тысяч мс, а потом и вообще превышен интервал. Успевает пройти штук 6 пингов всего.

Таким образом я выяснил, что сервер начинает срать в свой порт, тем самым забивает мне мои жалкие 2мбита, которые каким-то образом ограничены у провайдера (видимо на оба вилана суммарное ограничение)

 

Проблема началась сегодня, ни с того ни с сего, раньше такого не было. Приехав на место я взял винт, которые неделю назад выдернул из зеркала и запустил сервер с него, сервер запустился, проблема появилась опять. ЧТо, собственно исключает что проблема в каком-то вирусе или еще какой заразе.

Так что я оставляю как возможные варианты такие:

1. Аппаратная проблема сервера

2. DDOS

3. Какая-то проблема на стороне провайдера, связанная с неправильной резкой скорости.

 

Попробовал вместо сервера поставить другой компьютер, прописав на него этот белый IP - все заработало, так что DDOS вряд-ли, ну или винда 8 его лучше отражает, чем UserGate

Да, кстати, там на этом сервере стоит 2008r2 и UserGate.

 

UserGate пока триальный.

 

Кто что думает ?

И, собственно вопрос про флуд селевой карты, он вообще на какком уровне возникает и почему, на уровне IP Или на ARP уровне ? Что куда чем флудит и почему ?

Заранее спасибо

Изменено 20 июля, 2013 пользователем grifin.ru

[Ivan_83]

Да торренты поди кто то качает на полную и забивает весь канал.

Короче, без полноценных инструментов типа tcpdump гадать смысла нет.

 

UserGate

Выкини нафик.

Воспользуйся гиперви и поставь в виртуалку фрю или линукс и используй их как роутер.

Тот же гиперви имеет виртуальный сетевой свич, который умеет вланы превращать в интерфейсы в виртуалке или хост системе.

[mcdemon]

смотри wireshark'ом что происходит когда подключается сервер

 

а насчет возможных вариантов "флуда"

бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному.

может просто не работать (не поднимать линк), а может работать и показывать линк даже когда кабель в него не воткнут :)

не редко бывает что если в эти выгоревшие порты воткнуть витуху, то они образуют петлю

возможно с сетевой картой произошло что-то подобное, если это конечно аппаратная проблема

а возможно тут все банально просто - канал тупо забился, 2мбита этож ниочем)

 

п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700

и включи loopback detection, может обнаружится петля

Изменено 21 июля, 2013 пользователем mcdemon

[Adim]

бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному.

у нас например выгорели в грозу два медных порта ... и образовали между собой dhcp сервер ))))

[AlKov]

п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700

и включи loopback detection, может обнаружится петля

loopback detection на DES-2108?

[grifin.ru]

1. Никто торренты не качает, это офисная ЛВС

2. UserGate выкинуть бы рад, но он поставлен туда специально, как сертифицированное средство для защиты персональных данных

3. Кольца быть не может, я написал всю топологию

4. Порты коммутатора пробовал менять, так что выгоревший порт отпадает

5. Я писал что при подключении к этому-же проводу вместо сервера другого компа, интернет на нем есть и ничего нигде не забивается.

Т.е. проблема проявляется ТОЛЬКО когда подключен сервер, сервер меняешь на друго комп, проблемы нет. Значит проблема в сервере, либо в аппаратной его части, либо в программной.

А поскольку запуск сервера с резервной копии недельной давности проблему не исправил, остается только аппаратная фигня, ну или

какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера.

[Negator]

начните с дампа траффика.

[grifin.ru]

Мне так никто не ответил по природе этого флуда.

Сейчас везу туда резервный сервер, переткну в него винты и попробую запустить, есть проблема сохраниться, то значит она не в аппаратной части. И тогда я уже не знаю куда рыть...

Поэтому и спрашиваю, расскажите мне про эту неисправность сетевой карты пожалуйста.

[grifin.ru]

ну или какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера.

Я вот что еще подумал... на сервере подняла роль RDP и фаервол соответственно принимает пакеты по RDP порту снаружи. А компьютер, который я ставил вместо сервера, обычный ПК с вин8.

Так вот я подумал, а может это был RDP DDOS ? Или даже не DDOS а просто шел подбор паролей... 2мбита засрать то несложно...

Почему был ? Да потому, что я сейчас приехал в офис с запасным сервером, а тут все работает !!!

Собственно вопрос: Если это так, то кто какие предложит методы защиты ?

[grifin.ru]

Продолжаю сам себе отвечать.

Гугл рекомендует включить NLA. Но я, по ряду причин, не могу его включить глобально. Соответственно хотелось бы узнать как его включить только на одном из двух интерфейсов сервера. Такое возможно ?

[Butch3r]

Научитесь делать дампы трафика и не нужно гадать о всяких ддосах и тому подобном. Тут по фотографии никто не лечит

[grifin.ru]

Да не на чем там делать дампы трафика. Там стоит в продакшене терминальный сервер. Ставить на него какой-то софт не разбираясь в нем я не рискну, был-бы линкус я бы давно сделал.

Я собственно не прошу делать диагностику, я задал два вполне конкретных вопроса

1. Причины и симптому флуда сетевой карты (сем она срет в сеть, на каком уровне и почему) ?

2. Как включить NLA на одном из двух интерфейсов сервера 2под управлением 2008 r2 ?

[Ivan_83]

Мне так никто не ответил по природе этого флуда.

Подземный стук не лечим.

[vovannovig]

На свежеустановленных не настроенных должным образом маршрутизаторах заметил что сейчас можно атаковать DNS т.е. исход с легкостью положит и более 2Мбит.А что касательно атак что в идеале на входе должен стоять хоть примитивный недорогой Микротик Хоть Длинк(но у него как у всех СОХО мониторинга как такового нет)

 

Порт RDP на входе предпочтительнее изменить на не стандарт.

 

Анализ сервера я бы проводил с какая нагрузка на сервере и как минимум что за подключения в данную секунду при условии выдернутого шнурка с сервера локальных клиентов ну дальше снифить, менять настройки на сетевушках, подкинуть левую... - это все то что можно сделать не меняя сервер, без приобретения хоть и самого недорого-го но маршрутизатора ...

[grifin.ru]

Народ, еще раз говорю. Сегодня приехал в офис специально за этим, проблемы нет. Ловить нечего.

Поставить на входе линукс маршрутизатор подумываю, но вопрос не об этом.

Так же вопрос не про DNS атакти, и даже не про то что они могут положить.

Я давно конкретизировал вопрос. Если кто знает ответы - подскажите.

А поменять порт RDP на нестандартный я и сам могу додуматься, только это ничуть не защитит тебя от атаки, а лишь уменьшит вероятность что тебя найдут боты.

Я так понимаю что просто никто тему до конца не дочитывает. Ок, создам-ка я новую тогда.

[Tosha]

У нас была одна чудная сетевуха лет 10 назад. Она так сгорела, что ее подключение к офисной чети через 5 секунд приводило неуправляемый коммутатор в состояние парализа. Он просто переставал работать пока не отрубишь эту сетевуху. Что сетевуха слала так и не разобрались.

[grifin.ru]

А срач был на уровне IP Или на уровне езернета ? Собственно у меня этот вопрос был основным, TCPDAMP увидит этот высер или нет ?

[Tosha]

Подампить не успел, был занят. Потом забыл.

[martini]

а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см.

 

и кстати, кто сказал что у прова маршрутизаторы разные ?? на любом железе на один интерфейс вешается сколько угодно подсеток и каких угодно..

[sexst]

Ну серую с белой обычно таки по vrf разводят, так что вряд ли там один vif. Тем более что вланы разные. А железка да, скорее всего одна.

[Negator]

а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см.

 

проще старый хаб:)

А вообще еще отмиррорить порт можно.

или windump какой нибудь