grifin.ru Опубликовано 20 июля, 2013 (изменено) Ввиду того что опыт провайдерства ограничен телематикой и телефонией, никогда не приходилось сталкиваться с этим, но знаю что магистралы и ососбенно проавйдеры последней мили сталкивались с таким глюком, как флуд сетевой карты. У меня происходит собственно вот что: Есть небольшой офис в бизнес центре, туда провайдер дает медь (один конец). В эту медь он загнал 2 Влана, один тегированный, другой нетегированный. В тегированнный он дал мне несколько серых IPшников соответственно шлюз тоже серый, а в нетегированный один белый IP (соответственно и шлюз тоже реальный) Я это к тому рассказал, что бы не было вопросов про кольцо и пр, на стороне провайдера вланы включен как мы видим в разные маршрутизаторы. Ширина канала всего 2мбита (это может быть важно) Собственно, этот конец я вставляю в Dlink DES-2108 И развожу тегированный Влан на один порт (превращая его в нетегированный) а на другой порт собственно нетегированный влан. В результате от тегов и виланов избавились, получили по сути два канала до провайдера через один провод. Как я себе представляю - каналы получились полностью изолированными друг от друга, т.к. пока они в одном проводе они в разных виланах, ан строне провайдера они в разных маршрутизаторах, на мой стороне они в двух физически разных портах. Теперь дальше. Включаю я в тот порт где фейковые айпишники компьютер, интернет работает, пинги стабильные, 2 мс. Больше ничего не подключено, один компьютер. Если в этот момент включить в другой канал (где реальный айпишник) сервер, то пинги быстро растут, до сначала до сотен, потом до тысяч мс, а потом и вообще превышен интервал. Успевает пройти штук 6 пингов всего. Таким образом я выяснил, что сервер начинает срать в свой порт, тем самым забивает мне мои жалкие 2мбита, которые каким-то образом ограничены у провайдера (видимо на оба вилана суммарное ограничение) Проблема началась сегодня, ни с того ни с сего, раньше такого не было. Приехав на место я взял винт, которые неделю назад выдернул из зеркала и запустил сервер с него, сервер запустился, проблема появилась опять. ЧТо, собственно исключает что проблема в каком-то вирусе или еще какой заразе. Так что я оставляю как возможные варианты такие: 1. Аппаратная проблема сервера 2. DDOS 3. Какая-то проблема на стороне провайдера, связанная с неправильной резкой скорости. Попробовал вместо сервера поставить другой компьютер, прописав на него этот белый IP - все заработало, так что DDOS вряд-ли, ну или винда 8 его лучше отражает, чем UserGate Да, кстати, там на этом сервере стоит 2008r2 и UserGate. UserGate пока триальный. Кто что думает ? И, собственно вопрос про флуд селевой карты, он вообще на какком уровне возникает и почему, на уровне IP Или на ARP уровне ? Что куда чем флудит и почему ? Заранее спасибо Изменено 20 июля, 2013 пользователем grifin.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2013 Да торренты поди кто то качает на полную и забивает весь канал. Короче, без полноценных инструментов типа tcpdump гадать смысла нет. UserGate Выкини нафик. Воспользуйся гиперви и поставь в виртуалку фрю или линукс и используй их как роутер. Тот же гиперви имеет виртуальный сетевой свич, который умеет вланы превращать в интерфейсы в виртуалке или хост системе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 21 июля, 2013 (изменено) смотри wireshark'ом что происходит когда подключается сервер а насчет возможных вариантов "флуда" бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному. может просто не работать (не поднимать линк), а может работать и показывать линк даже когда кабель в него не воткнут :) не редко бывает что если в эти выгоревшие порты воткнуть витуху, то они образуют петлю возможно с сетевой картой произошло что-то подобное, если это конечно аппаратная проблема а возможно тут все банально просто - канал тупо забился, 2мбита этож ниочем) п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700 и включи loopback detection, может обнаружится петля Изменено 21 июля, 2013 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Adim Опубликовано 21 июля, 2013 бывает такое что на коммутаторе выгорает медный порт, но выгорает по разному. у нас например выгорели в грозу два медных порта ... и образовали между собой dhcp сервер )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 21 июля, 2013 п.с. обнови прошивку на коммутаторе http://forum.dlink.ru/viewtopic.php?f=2&t=92700 и включи loopback detection, может обнаружится петля loopback detection на DES-2108? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 1. Никто торренты не качает, это офисная ЛВС 2. UserGate выкинуть бы рад, но он поставлен туда специально, как сертифицированное средство для защиты персональных данных 3. Кольца быть не может, я написал всю топологию 4. Порты коммутатора пробовал менять, так что выгоревший порт отпадает 5. Я писал что при подключении к этому-же проводу вместо сервера другого компа, интернет на нем есть и ничего нигде не забивается. Т.е. проблема проявляется ТОЛЬКО когда подключен сервер, сервер меняешь на друго комп, проблемы нет. Значит проблема в сервере, либо в аппаратной его части, либо в программной. А поскольку запуск сервера с резервной копии недельной давности проблему не исправил, остается только аппаратная фигня, ну или какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 21 июля, 2013 начните с дампа траффика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 Мне так никто не ответил по природе этого флуда. Сейчас везу туда резервный сервер, переткну в него винты и попробую запустить, есть проблема сохраниться, то значит она не в аппаратной части. И тогда я уже не знаю куда рыть... Поэтому и спрашиваю, расскажите мне про эту неисправность сетевой карты пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 ну или какая-то совокпуность двух факторов, первый фактор вншний (неделю назад его не было а сейчас есть), второй фактор - внутри сервера. Я вот что еще подумал... на сервере подняла роль RDP и фаервол соответственно принимает пакеты по RDP порту снаружи. А компьютер, который я ставил вместо сервера, обычный ПК с вин8. Так вот я подумал, а может это был RDP DDOS ? Или даже не DDOS а просто шел подбор паролей... 2мбита засрать то несложно... Почему был ? Да потому, что я сейчас приехал в офис с запасным сервером, а тут все работает !!! Собственно вопрос: Если это так, то кто какие предложит методы защиты ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 Продолжаю сам себе отвечать. Гугл рекомендует включить NLA. Но я, по ряду причин, не могу его включить глобально. Соответственно хотелось бы узнать как его включить только на одном из двух интерфейсов сервера. Такое возможно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 21 июля, 2013 Научитесь делать дампы трафика и не нужно гадать о всяких ддосах и тому подобном. Тут по фотографии никто не лечит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 Да не на чем там делать дампы трафика. Там стоит в продакшене терминальный сервер. Ставить на него какой-то софт не разбираясь в нем я не рискну, был-бы линкус я бы давно сделал. Я собственно не прошу делать диагностику, я задал два вполне конкретных вопроса 1. Причины и симптому флуда сетевой карты (сем она срет в сеть, на каком уровне и почему) ? 2. Как включить NLA на одном из двух интерфейсов сервера 2под управлением 2008 r2 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2013 Мне так никто не ответил по природе этого флуда. Подземный стук не лечим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovannovig Опубликовано 21 июля, 2013 На свежеустановленных не настроенных должным образом маршрутизаторах заметил что сейчас можно атаковать DNS т.е. исход с легкостью положит и более 2Мбит.А что касательно атак что в идеале на входе должен стоять хоть примитивный недорогой Микротик Хоть Длинк(но у него как у всех СОХО мониторинга как такового нет) Порт RDP на входе предпочтительнее изменить на не стандарт. Анализ сервера я бы проводил с какая нагрузка на сервере и как минимум что за подключения в данную секунду при условии выдернутого шнурка с сервера локальных клиентов ну дальше снифить, менять настройки на сетевушках, подкинуть левую... - это все то что можно сделать не меняя сервер, без приобретения хоть и самого недорого-го но маршрутизатора ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 21 июля, 2013 Народ, еще раз говорю. Сегодня приехал в офис специально за этим, проблемы нет. Ловить нечего. Поставить на входе линукс маршрутизатор подумываю, но вопрос не об этом. Так же вопрос не про DNS атакти, и даже не про то что они могут положить. Я давно конкретизировал вопрос. Если кто знает ответы - подскажите. А поменять порт RDP на нестандартный я и сам могу додуматься, только это ничуть не защитит тебя от атаки, а лишь уменьшит вероятность что тебя найдут боты. Я так понимаю что просто никто тему до конца не дочитывает. Ок, создам-ка я новую тогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 22 июля, 2013 У нас была одна чудная сетевуха лет 10 назад. Она так сгорела, что ее подключение к офисной чети через 5 секунд приводило неуправляемый коммутатор в состояние парализа. Он просто переставал работать пока не отрубишь эту сетевуху. Что сетевуха слала так и не разобрались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 22 июля, 2013 А срач был на уровне IP Или на уровне езернета ? Собственно у меня этот вопрос был основным, TCPDAMP увидит этот высер или нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 23 июля, 2013 Подампить не успел, был занят. Потом забыл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 23 июля, 2013 а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см. и кстати, кто сказал что у прова маршрутизаторы разные ?? на любом железе на один интерфейс вешается сколько угодно подсеток и каких угодно.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 23 июля, 2013 Ну серую с белой обычно таки по vrf разводят, так что вряд ли там один vif. Тем более что вланы разные. А железка да, скорее всего одна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 23 июля, 2013 а в разрыв между свичем и сервером, или между свичем и шнурком провайдера микротик в бридже поставить не судьба ?? и сдампить весь трафик, или просмотреть на нем же что бегает. Коробочка то размером всего 10см. проще старый хаб:) А вообще еще отмиррорить порт можно. или windump какой нибудь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...