Jump to content
Калькуляторы

Флуд сетевой карты Расскажите как это бывает

Ввиду того что опыт провайдерства ограничен телематикой и телефонией, никогда не приходилось сталкиваться с этим, но знаю что магистралы и ососбенно проавйдеры последней мили сталкивались с таким глюком, как флуд сетевой карты. У меня происходит собственно вот что:

Есть небольшой офис в бизнес центре, туда провайдер дает медь (один конец). В эту медь он загнал 2 Влана, один тегированный, другой нетегированный.

В тегированнный он дал мне несколько серых IPшников соответственно шлюз тоже серый, а в нетегированный один белый IP (соответственно и шлюз тоже реальный)

Я это к тому рассказал, что бы не было вопросов про кольцо и пр, на стороне провайдера вланы включен как мы видим в разные маршрутизаторы.

Ширина канала всего 2мбита (это может быть важно)

Собственно, этот конец я вставляю в Dlink DES-2108 И развожу тегированный Влан на один порт (превращая его в нетегированный) а на другой порт собственно нетегированный влан.

В результате от тегов и виланов избавились, получили по сути два канала до провайдера через один провод. Как я себе представляю - каналы получились полностью изолированными друг от друга, т.к. пока они в одном проводе они в разных виланах, ан строне провайдера они в разных маршрутизаторах, на мой стороне они в двух физически разных портах.

Теперь дальше. Включаю я в тот порт где фейковые айпишники компьютер, интернет работает, пинги стабильные, 2 мс. Больше ничего не подключено, один компьютер.

Если в этот момент включить в другой канал (где реальный айпишник) сервер, то пинги быстро растут, до сначала до сотен, потом до тысяч мс, а потом и вообще превышен интервал. Успевает пройти штук 6 пингов всего.

Таким образом я выяснил, что сервер начинает срать в свой порт, тем самым забивает мне мои жалкие 2мбита, которые каким-то образом ограничены у провайдера (видимо на оба вилана суммарное ограничение)

 

Проблема началась сегодня, ни с того ни с сего, раньше такого не было. Приехав на место я взял винт, которые неделю назад выдернул из зеркала и запустил сервер с него, сервер запустился, проблема появилась опять. ЧТо, собственно исключает что проблема в каком-то вирусе или еще какой заразе.

Так что я оставляю как возможные варианты такие:

1. Аппаратная проблема сервера

2. DDOS

3. Какая-то проблема на стороне провайдера, связанная с неправильной резкой скорости.

 

Попробовал вместо сервера поставить другой компьютер, прописав на него этот белый IP - все заработало, так что DDOS вряд-ли, ну или винда 8 его лучше отражает, чем UserGate

Да, кстати, там на этом сервере стоит 2008r2 и UserGate.

 

UserGate пока триальный.

 

Кто что думает ?

И, собственно вопрос про флуд селевой карты, он вообще на какком уровне возникает и почему, на уровне IP Или на ARP уровне ? Что куда чем флудит и почему ?

Заранее спасибо

Edited by grifin.ru

Share this post


Link to post
Share on other sites

Да торренты поди кто то качает на полную и забивает весь канал.

Короче, без полноценных инструментов типа tcpdump гадать смысла нет.

 

UserGate

Выкини нафик.

Воспользуйся гиперви и поставь в виртуалку фрю или линукс и используй их как роутер.

Тот же гиперви имеет виртуальный сетевой свич, который умеет вланы превращать в интерфейсы в виртуалке или хост системе.

Share this post


Link to post
Share on other sites

смотри wireshark'ом что происходит когда подключается сервер

 

а насчет возможных вариантов "флуда"

бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному.

может просто не работать (не поднимать линк), а может работать и показывать линк даже когда кабель в него не воткнут :)

не редко бывает что если в эти выгоревшие порты воткнуть витуху, то они образуют петлю

возможно с сетевой картой произошло что-то подобное, если это конечно аппаратная проблема

а возможно тут все банально просто - канал тупо забился, 2мбита этож ниочем)

 

п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700

и включи loopback detection, может обнаружится петля

Edited by mcdemon

Share this post


Link to post
Share on other sites

бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному.

у нас например выгорели в грозу два медных порта ... и образовали между собой dhcp сервер ))))

Share this post


Link to post
Share on other sites

п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700

и включи loopback detection, может обнаружится петля

loopback detection на DES-2108?

Share this post


Link to post
Share on other sites

1. Никто торренты не качает, это офисная ЛВС

2. UserGate выкинуть бы рад, но он поставлен туда специально, как сертифицированное средство для защиты персональных данных

3. Кольца быть не может, я написал всю топологию

4. Порты коммутатора пробовал менять, так что выгоревший порт отпадает

5. Я писал что при подключении к этому-же проводу вместо сервера другого компа, интернет на нем есть и ничего нигде не забивается.

Т.е. проблема проявляется ТОЛЬКО когда подключен сервер, сервер меняешь на друго комп, проблемы нет. Значит проблема в сервере, либо в аппаратной его части, либо в программной.

А поскольку запуск сервера с резервной копии недельной давности проблему не исправил, остается только аппаратная фигня, ну или

какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера.

Share this post


Link to post
Share on other sites

Мне так никто не ответил по природе этого флуда.

Сейчас везу туда резервный сервер, переткну в него винты и попробую запустить, есть проблема сохраниться, то значит она не в аппаратной части. И тогда я уже не знаю куда рыть...

Поэтому и спрашиваю, расскажите мне про эту неисправность сетевой карты пожалуйста.

Share this post


Link to post
Share on other sites

ну или какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера.

Я вот что еще подумал... на сервере подняла роль RDP и фаервол соответственно принимает пакеты по RDP порту снаружи. А компьютер, который я ставил вместо сервера, обычный ПК с вин8.

Так вот я подумал, а может это был RDP DDOS ? Или даже не DDOS а просто шел подбор паролей... 2мбита засрать то несложно...

Почему был ? Да потому, что я сейчас приехал в офис с запасным сервером, а тут все работает !!!

Собственно вопрос: Если это так, то кто какие предложит методы защиты ?

Share this post


Link to post
Share on other sites

Продолжаю сам себе отвечать.

Гугл рекомендует включить NLA. Но я, по ряду причин, не могу его включить глобально. Соответственно хотелось бы узнать как его включить только на одном из двух интерфейсов сервера. Такое возможно ?

Share this post


Link to post
Share on other sites

Научитесь делать дампы трафика и не нужно гадать о всяких ддосах и тому подобном. Тут по фотографии никто не лечит

Share this post


Link to post
Share on other sites

Да не на чем там делать дампы трафика. Там стоит в продакшене терминальный сервер. Ставить на него какой-то софт не разбираясь в нем я не рискну, был-бы линкус я бы давно сделал.

Я собственно не прошу делать диагностику, я задал два вполне конкретных вопроса

1. Причины и симптому флуда сетевой карты (сем она срет в сеть, на каком уровне и почему) ?

2. Как включить NLA на одном из двух интерфейсов сервера 2под управлением 2008 r2 ?

Share this post


Link to post
Share on other sites

На свежеустановленных не настроенных должным образом маршрутизаторах заметил что сейчас можно атаковать DNS т.е. исход с легкостью положит и более 2Мбит.А что касательно атак что в идеале на входе должен стоять хоть примитивный недорогой Микротик Хоть Длинк(но у него как у всех СОХО мониторинга как такового нет)

 

Порт RDP на входе предпочтительнее изменить на не стандарт.

 

Анализ сервера я бы проводил с какая нагрузка на сервере и как минимум что за подключения в данную секунду при условии выдернутого шнурка с сервера локальных клиентов ну дальше снифить, менять настройки на сетевушках, подкинуть левую... - это все то что можно сделать не меняя сервер, без приобретения хоть и самого недорого-го но маршрутизатора ...

Share this post


Link to post
Share on other sites

Народ, еще раз говорю. Сегодня приехал в офис специально за этим, проблемы нет. Ловить нечего.

Поставить на входе линукс маршрутизатор подумываю, но вопрос не об этом.

Так же вопрос не про DNS атакти, и даже не про то что они могут положить.

Я давно конкретизировал вопрос. Если кто знает ответы - подскажите.

А поменять порт RDP на нестандартный я и сам могу додуматься, только это ничуть не защитит тебя от атаки, а лишь уменьшит вероятность что тебя найдут боты.

Я так понимаю что просто никто тему до конца не дочитывает. Ок, создам-ка я новую тогда.

Share this post


Link to post
Share on other sites

У нас была одна чудная сетевуха лет 10 назад. Она так сгорела, что ее подключение к офисной чети через 5 секунд приводило неуправляемый коммутатор в состояние парализа. Он просто переставал работать пока не отрубишь эту сетевуху. Что сетевуха слала так и не разобрались.

Share this post


Link to post
Share on other sites

А срач был на уровне IP Или на уровне езернета ? Собственно у меня этот вопрос был основным, TCPDAMP увидит этот высер или нет ?

Share this post


Link to post
Share on other sites

а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см.

 

и кстати, кто сказал что у прова маршрутизаторы разные ?? на любом железе на один интерфейс вешается сколько угодно подсеток и каких угодно..

Share this post


Link to post
Share on other sites

Ну серую с белой обычно таки по vrf разводят, так что вряд ли там один vif. Тем более что вланы разные. А железка да, скорее всего одна.

Share this post


Link to post
Share on other sites

а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см.

 

проще старый хаб:)

А вообще еще отмиррорить порт можно.

или windump какой нибудь

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.