PDA

Επιστροφή στο Forum : Αγνωστο traffic σε serial interface



eXpLoDeR
09-09-10, 10:09
Εδω και 2 μέρες έχω ένα σοβαρό πρόβλημα καθυστέρισης στην κίνηση ενως mpls που έχω μέσω οτε, βλέπω τεράστια εισερχόμενη κίνηση στην σειριακή του ενός σημείου
MTU 1500 bytes, BW 384 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 244/255

Ενώ στο άλλο μου σημείο είναι το txload 15/255 απο που μπορεί να είναι αυτή η κίνηση που έρχεται σαν εισερχόμενη και μου κολλάει τα πάντα; Το erp κανει 10 λεπτα να ανοίξει και για remote desktop ούτε συζήτηση , για τέτοιες καθυστερίσεις μιλάμε.. :hmm:

RoyBatty
09-09-10, 10:36
Αρχικά δοκίμασε να μπλοκάρεις το inbound icmp σου και ενεργοποίησε το ip accounting στα input-packets για να δεις με ποιον "μιλάει" το interface.

eXpLoDeR
09-09-10, 11:13
Το έχω ενεργοποιημένο το ip accounting και βλέπω κάποια μηχανήματα του δυκτίου μου , κατα κύριο λόγο servers.

RoyBatty
09-09-10, 11:41
Επομένως καλό θα ήταν να ξεκινήσεις ψάχνοντας τον "ένοχο" ανάμεσα σε αυτά τα μηχανήματα.Δοκίμασε να τους εγκαταστήσεις κάποιο traffic monitoring προγραμμα για να δεις τι γίνεται.

eXpLoDeR
09-09-10, 16:24
τελικά είναι απο ενα ιντερνετ feed 128κ που έχω μέσα απο την σειριακή όταν το κάνω down εγώ δε βλέπω καμία διαφορά και το πρόβλημα παραμένει, όταν το κάνει down ο ΟΤΕ απο το δικό τους router το πρόβλημα λύνεται και η σειριακή ξεμπουκώνει..... :down:

SfH
09-09-10, 16:31
τελικά είναι απο ενα ιντερνετ feed 128κ που έχω μέσα απο την σειριακή όταν το κάνω down εγώ δε βλέπω καμία διαφορά και το πρόβλημα παραμένει, όταν το κάνει down ο ΟΤΕ απο το δικό τους router το πρόβλημα λύνεται και η σειριακή ξεμπουκώνει..... :down:
Επίθεση ίσως ?

Έχουν κάποια κοινή πηγή ή προορισμό τα πακέτα ? Είναι tcp ή udp ? Src/Dst ports ? Μέγεθος ?

eXpLoDeR
10-09-10, 09:33
Αυτό πως θα το δώ ενεργοποιώντας το accounting μέσα στο sub interface? η υπάρχει άλλως τρόπος;

SfH
10-09-10, 10:49
Αυτό πως θα το δώ ενεργοποιώντας το accounting μέσα στο sub interface? η υπάρχει άλλως τρόπος;
Προσωπικά τα βλέπω με netflow . Βάλε ip route-cache flow στα interfaces σου ( βλέπει μόνο το outgoing, οπότε θα χρειαστεί να το βάλεις και στο εσωτερικό ) . Αν είναι μικρό το δίκτυο κι έχει λίγο traffic υπο κανονικές συνθήκες , μπορείς να παίξεις με sh ip cache flow και clear ip flow stats για να κάνεις reset τα στατιστικά. Αν θες κάτι πιο μαζεμένο , υπάρχουν free και μη εξωτερικοί netflow collectors/analyzers . Για να κάνεις export netflow data σε εξωτερικό collector, χρησιμοποιείς την ip flow-export destination ip port , αλλά ανάλογα το πρόγραμμα που θα χρησιμοποιήσεις και το δίκτυο σου, πιθανώς να χρειάζεται να ρυθμίσεις κι άλλες παραμέτρους.

Από κει και πέρα, αν είναι όντως κάποιο udp flood, δε μπορείς να κάνεις πολλά από το άκρο σου ( ακόμα κι αν το κόψεις στο άκρο σου, τα πακέτα θα φτάνουν μέχρι αυτό με κανονικό rate άρα θα σου γεμίζει το κύκλωμα ) . Βρίσκεις την/τις ip που κάνουν την επίθεση και ζητάς να τις κόψουν είτε με acl ή με nullroute + verify reverse path από το απέναντι άκρο. Αν είναι κάτι tcp-based, πιθανότατα θα μπορείς να το διορθώσεις και μόνος σου.

karavagos
10-09-10, 10:56
Προσωπικά τα βλέπω με netflow . Βάλε ip route-cache flow στα interfaces σου ( βλέπει μόνο το outgoing, οπότε θα χρειαστεί να το βάλεις και στο εσωτερικό ) .
ip flow ingress/egress

SfH
10-09-10, 11:02
ip flow ingress/egress

Γηράσκω αεί διδασκόμενος :)

eXpLoDeR
10-09-10, 14:04
Τελικά έκανα αίτηση διακοπείς του ιντερνετ feed μεσω σειριακής γιατι έτσι και αλλιως θα το έκανα μιας και μου ήρθαν οι adsl που περίμενα οπότε μου το έκοψε ο οτε και το θέμα λύθηκε...
Ευχαριστώ παρα πολύ για τις υποδείξεις σας ήταν όντως κατατοπιστικότατες. :oneup:

@ ADSLgr.com All rights reserved.