Jump to content

Паразитирующий трафик. Mikrotik

Kesano
 Share

Recommended Posts

Kesano

Kesano

Posted
Posted (edited)

Доброго дня.

Обнаружил у себя на Микротике паразитирующий трафик.

При чем обнаружил это по внезапно начавшимся тормозам. Долго отзывали сайты, хотя по спидтесту вроде всё хорошо было, пинги идут... А сайты долго реагируют на открытие... Нагрузка на проц Микротика (RB 951Ui) была 100%.

Конфигурация - дефолтовая.

Не могу понять, в чём причина. Сначала был исходящий трафик на уровне 3 мбит\с. Сейчас некий входящий на уровне 300кбит.

Решил посмотреть Torch-ем, и обнаружил огромное количество входящих соединений, где источник - КТО УГОДНО В МИРЕ (США, япония и т.д.), а Dst - адреса моего провайдера. При чем Dst. белые IP-адреса, которые НЕ входят в мою подсеть, но принадлежат моему провайдеру (глобальный по стране).

 

Под спойлером - скриншоты

 

 

 

 

Паразитирующий трафик на getway-интерфейсе. Куча-куча-куча мелких пакетов.

04HNZ3C.png

 

Настройки интерфейса

40BaVli.png

 

А вот и куча паразитирующих соединений в Торче:

6kv36xK.png

 

Набор правил стандартен:

BuFgr4v.png

 

 

 

Исходящий трафик мне как-то удалось перекрыть. Но извне запросы продолжают, как видно, поступать.

Это проблема моя или моего провайдера? Провайдер решил, что я буду маршрутизировать весь его траффик? потому что Dst.ip этих соединени из разных AS моего провайдера.

 

Спасибо за участие.

Edited by Kesano
Kesano

Kesano

Posted
  • Author
Posted (edited)

А зачем вам proxy-arp на внешнем интерфейсе?

1. стоит по умолчанию.

2. без него интернет не пашет (сейчас стоит в положении enabled).

3. его отключение\включение никак не влияет на проблему - трафик на входящем интерфейсе остается.

 

2 Nik:

Извини, не могу больше 3-х сообщений в день писать...

 

 

Красным выделены айпи-адреса-источники.

Жёлтым - айпиадреса моего провайдера. разные AS, но которые маршрутизируются внутри моего провайдера.

И судя по тому, что я вижу, у моего провайдера проблемы с маркировкой фреймов\пакетов и они рассылаются мультикастом...

QTgCAiG.png

 

 

Нет, ничего не изменилось...

И не должно было изменится, наверное... Судя по тому, что я нагуглил - это плохая настройка оборудования моего провайдера.

Edited by Kesano
NikAlexAn

NikAlexAn

Posted
Posted

1. стоит по умолчанию.

2. без него интернет не пашет (сейчас стоит в положении enabled).

3. его отключение\включение никак не влияет на проблему - трафик на входящем интерфейсе остается.

По умолчанию enabled а не proxy-arp как на вашей картинке.

Если сейчас enabled то в торче что показывает?

Saab95

Saab95

Posted
Posted

Надо просто сбросить начальную конфигурацию и настроить все с нуля, а для управления устройством использовать winbox, а не веб интерфейс. Тогда и все проблемы сами собой уйдут.

saaremaa

saaremaa

Posted
Posted

ip→services повыключайте все. Оставьте только Winbox.

в firewall закройте доступ по 53 порту на Mikrotik чтобы Ваш маршрутизатор не использовали как dns.

Saab95

Saab95

Posted
Posted

не, вы чо, ssh, telnet, и прочие CLI - это для лохов, next gen админы конфигурируют мышой, программируют мышой, онанируют, тоже, наверное, мышой. Прогресс.

 

То есть через винбокс хуже чем через веб?

NikAlexAn

NikAlexAn

Posted
Posted (edited)

Нет, ничего не изменилось...

И не должно было изменится, наверное... Судя по тому, что я нагуглил - это плохая настройка оборудования моего провайдера.

Попробуйте то что советует Saab95(сброс настроек и настройка с нуля и после перезагрузить маршрутизатор лучше).

Если не поможет - обращайтесь к провайдеру.

 

saaremaa - Правила по умолчанию - там вообще на инпут всё практически закрыто, да и на форвардинг тоже. Разрешён icmp на вход с мира и соединения из внутренней сети к маршрутизатору и в мир.

Edited by NikAlexAn
NikAlexAn

NikAlexAn

Posted
Posted

http://forum.nag.ru/forum/index.php?showtopic=91967&st=0&p=930130&fromsearch=1entry930130

 

нет, всётки надо тему прилепить )

У ТС на вход с мира разрешены только icmp, established и related всё остальное дропается.

Кроме того - судя по торчу через его внешний интерфейс пытается пройти транзитный траффик, ни к маршрутизатору ни от него обращений то нет практически.

mcdemon

mcdemon

Posted
Posted

может просто у провайдера там стоит какойнибудь 3028, и изза хэш коллизий к нему прилетает трафик.

Kesano

Kesano

Posted
  • Author
Posted

1. Конфигурация сносилась полностью, ресетился девайс по-микротиковски (с зажатием ресета на включении питания, ожиданием моргания лампочки и т.д.). Это я делал ещё до того, как написать сюда. Ситуация не менялась.

2. По поводу анонсирования ARP-данных (я так понимаю, из-за положения Proxy-ARP, которое после сброса стоит на enable) - прошу разъяснить, чем это могло навлечь на меня левый траффик. Статью про Proxy-ARP читал, но не нашёл причины, почему даже если я себя эхаю в локаль, ко мне идёт трафик, ДЛЯ МЕНЯ НЕ ПРЕДНАЗНАЧЕНЫЙ.

Изменилось ли что-то, после смены Proxy-ARP на Enable - нет, ничего не изменилось.

3. По поводу того, чтобы закрыть 53-й порт на WAN-е - я попробую. О результате отпишусь.

Ivan_83

Ivan_83

Posted
Posted

Смотрите мак назначения, если ваш - сами со своим прокси арп виноваты, если мак не ваш - пинайте коммутатор с которого летит.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.