- Перегрузка сети большим числом коротких пакетов.,
 Сайко, 15:14 , 05-Апр-05 (1)Выявлять нужно по netflow
- Перегрузка сети большим числом коротких пакетов., Сайко, 15:23 , 05-Апр-05 (2)
- Перегрузка сети большим числом коротких пакетов., kos, 16:16 , 05-Апр-05 (5)
>Выявлять нужно по netflow
В netflow показываются прошедшие успешно сеансы обмена пакетами.
А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается их смаршрутизировать и не может, но ресурсы при этом тратит. В Netflow эти пакеты не отражаются.
- Перегрузка сети большим числом коротких пакетов., Сайко, 16:26 , 05-Апр-05 (6)
>>Выявлять нужно по netflow
>В netflow показываются прошедшие успешно сеансы обмена пакетами.
>А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается
>их смаршрутизировать и не может, но ресурсы при этом тратит. В
>Netflow эти пакеты не отражаются. Вау! Свой proprietary нетфлов чтоли написали ;)
Написали какой то бред... Скорее всего даже не проверяли.
Будут они будут - только в DstIf будет cтоять Null.
Проверьте по show ip cache flow!
- Перегрузка сети большим числом коротких пакетов., kos, 17:00 , 05-Апр-05 (8)
>>>Выявлять нужно по netflow
>>В netflow показываются прошедшие успешно сеансы обмена пакетами.
>>А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается
>>их смаршрутизировать и не может, но ресурсы при этом тратит. В
>>Netflow эти пакеты не отражаются.
>
>Вау! Свой proprietary нетфлов чтоли написали ;)
>Написали какой то бред... Скорее всего даже не проверяли.
>Будут они будут - только в DstIf будет cтоять Null.
>Проверьте по show ip cache flow!
Да действительно Вы правы.
Возможно так и придется сделать. Включить поддержку Netflow, перенаправлять ее на NetFlow сервер, анализировать лог NetFlow сервера, выдавать тревожные сигналы в случае начала сетевой атаки и затем блокировать зараженную машину.
Только есть сомнения не будет ли NetFlow траффик серьезно грузить сеть и сам роутер.
- Перегрузка сети большим числом коротких пакетов., Nailer, 15:30 , 05-Апр-05 (3)
>Ситуация следующая:
>Имяется локальная сеть ~ 6000 компьютеров
>В центре роутер от него отходят свичи, к которым подключены клиенты.
>
>Иногда возникает следующая ситуация.
>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>до полной недоступности роутера).
>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>
>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>пакетов.
>
>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>сети или компьютеров и т.д.).
>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. Второй вариант, который пока я не проверял, но двано просится в голову - если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL и т.д. - попробовать unicast storm control, который срезал бы пакеты выше определенного количества в секунду. Только надо хорошо подбирать значения потока, выше которого будет срезание. Детекировать такую машину будете по
жалбое юзера, что у него сеть не пашет.
- Перегрузка сети большим числом коротких пакетов., kos, 16:39 , 05-Апр-05 (7)
>>Ситуация следующая:
>>Имяется локальная сеть ~ 6000 компьютеров
>>В центре роутер от него отходят свичи, к которым подключены клиенты.
>>
>>Иногда возникает следующая ситуация.
>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>>до полной недоступности роутера).
>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>>
>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>>пакетов.
>>
>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>>сети или компьютеров и т.д.).
>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
>
>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную
>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. У нас роутер HP 9308m (178 million pps ).
Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна тем, что на уровне L2 ни какой нагрузки не видно, а на L3 все виснет.
У нас была ситуация что 1 машина таким вот образом завесила роутер.
Так что это не выход купить более мощный роутер. А если зараженных компов будет 10,100 то любой роутер не справится. >Второй вариант, который пока я не проверял, но двано просится в голову
>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL
>и т.д. - попробовать unicast storm control, который срезал бы пакеты
>выше определенного количества в секунду. Только надо хорошо подбирать значения потока,
>выше которого будет срезание. Детекировать такую машину будете по
>жалбое юзера, что у него сеть не пашет.
На втором уровне нагрузка не видна.
- Перегрузка сети большим числом коротких пакетов., Nailer, 15:57 , 06-Апр-05 (10)
>>>Ситуация следующая:
>>>Имяется локальная сеть ~ 6000 компьютеров
>>>В центре роутер от него отходят свичи, к которым подключены клиенты.
>>>
>>>Иногда возникает следующая ситуация.
>>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>>>до полной недоступности роутера).
>>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>>>
>>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>>>пакетов.
>>>
>>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>>>сети или компьютеров и т.д.).
>>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
>>
>>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную
>>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем.
>
>У нас роутер HP 9308m (178 million pps ).
>Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна
>тем, что на уровне L2 ни какой нагрузки не видно, а
>на L3 все виснет.
>У нас была ситуация что 1 машина таким вот образом завесила роутер.
>
>Так что это не выход купить более мощный роутер. А если зараженных
>компов будет 10,100 то любой роутер не справится.
>
>>Второй вариант, который пока я не проверял, но двано просится в голову
>>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL
>>и т.д. - попробовать unicast storm control, который срезал бы пакеты
>>выше определенного количества в секунду. Только надо хорошо подбирать значения потока,
>>выше которого будет срезание. Детекировать такую машину будете по
>>жалбое юзера, что у него сеть не пашет.
>На втором уровне нагрузка не видна. Соглашусь с mc несколькими постами ниже - у вас что-то не в порядке с самим роуетером. 178 million pps в сек. комп на 100 мегабитах сгенерировать просто не в состоянии.
- Перегрузка сети большим числом коротких пакетов., Helldriver, 15:45 , 05-Апр-05 (4)
>Ситуация следующая:
>Имяется локальная сеть ~ 6000 компьютеров
>В центре роутер от него отходят свичи, к которым подключены клиенты.
>
>Иногда возникает следующая ситуация.
>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>до полной недоступности роутера).
>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>
>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>пакетов.
>
>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>сети или компьютеров и т.д.).
>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. Учитывая, что 99,(9)% вирусов используют одни и те же порты для своих рассылок, может, стоит попробовать создать ACL на эти порты и rate-shape'ить по нему интерфейсы рутера? Да и вообще, есть ли резон пропускать через рутер MS NetBIOS, чьи порты в массе вирусы и используют? Может, стоит обойтись без него?
- Перегрузка сети большим числом коротких пакетов., mc, 15:50 , 06-Апр-05 (9)
Используем hp9304 тоже самое что и 08 только слотов меньше
в сети порядка 12000 клиентов, рабочая нагрузка по
sh cpu 1% роутит порядка 200 сеток /24
либо вы используете програмный АСЛ либо не правильно
определены размеры САМ таблиц.Такой агрегат положить очень тяжело разбирайтесь :)
|
Версия для распечатки
Перегрузка сети большим числом коротких пакетов., 
