Jump to content
  • 0

Флууд по igmp?


Стоян Иванов
 Share

Question

Добър ден момчета. Имам един проблем, който няколко дни вече не мога да реша и затова се обръщам към вас, по-разбиращите за помощ. Преди седмица поставих един микротик в офис, в който имаха оплаквания от проблеми с нета и чести прекъсвания. Първата ми стъпка бе да заменя съществуващия netgear с hap-lite и проблемните им места се видяха. Мисля че  ги отстаних, но остана един неприятен флууд по igmp (multicast), които вече нямам идея как да погася. Изглежда ми като Dos от спуфнати адреси, защото в Interface/torch  виждам заявки от няколко почти цели мрежи. Написах доста правила, но сякаш колкото повече рестрикции слагам, толкова по-брутален става. В началото бе 3-4Mbps, а сега на моменти достига 13-15Mbps. Недостатъчен е за да запълни канала и свързаност има, нета не пада, но ме е яд, че вече нямам идея как да противостоя на това. В мрежата има ДВР с камери по коаксиал плюс две  по ip. Разгледал съм им настройките и мисля че при тях няма проблем, но като гледам резултатите съмненията ми падат върху тях и един мрежови WIFI принтер, които за момента съм изключил . Някакви идеи какво е това чудо и може ли да се погаси по някакъв начин?5a6dc5d044d91_1.png.f2931399764b01692c9554f2709cae52.png5a6dc5d2bfe37_2.thumb.png.bf89e7f7891508339528a1fea3bebe90.png5a6dc5d3f1efc_3.thumb.jpg.a786617e7b0b164b832505c59db2c1b8.jpg5a6dc5d2bfe37_2.thumb.png.bf89e7f7891508339528a1fea3bebe90.png

wan.jpg

Единственото устройство с конекция по igmp е тъпия принтер.

Без име4.png

Link to comment
Share on other sites

13 answers to this question

Recommended Posts

  • 0

Да, отвън е. Но има ли търсене, има и предлагане. Затова реших да намеря устройството което търси. Наблюдавайки и днес следобед логовете, съм сигурен че търсенето идва от принтера, които се опитва да вкара адреси от публичната мрежа в лана.

conn2.png.a1a46b33b8802f39a0d2e7ebee0dbd41.pngprint.png.8ab7ff1bdba63bb1c6d2721ec31667c1.png

Някъде сред всички конекции, се маскира  една връзка която признавам си, нямам идея от къде идва, накъде отива и най-вече, как успява да мине  през борда и да генерира трафик.

conn.png.79b1216b17700080a6a78e4522205511.png

В случая доставчика е Телекабел, които има и услуга IPTV, но се съмнявам да са толкова смотани за да си нафлудят цялата мрежа с мултикаст!?

Link to comment
Share on other sites

  • 0
  • Administrator

В микротик има една приятна реализация RAW която дропва всичко преди да е стигнало на софтуерния firewall.

Добави комуникацията на принтера с интернет в тази графа и кажи какъв е резултата.

Погледни и ДНС кеша в какво състояние е.

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 8 часа, 111111 написа:

В микротик има една приятна реализация RAW която дропва всичко преди да е стигнало на софтуерния firewall.

Добави комуникацията на принтера с интернет в тази графа и кажи какъв е резултата.

Погледни и ДНС кеша в какво състояние е.

Днес минах през офиса и погледнах как стоят нещата с конфигурацията на въпросния принтер. Хората си бяха пуснали всички "благинки" които могат да се пуснат. UPnP, Уеб печат и тн. Спрях ненужните и несигурни неща, сложих му една добра парола и принтера се кротна. Колкото пъти проверих логовете днес, не го видях никъде. Още миналата седмица дропих целия мултикаст на входа, но снощи след като видях коментара на byte реших да си направя труда и да напиша едно правило с blacklist на  224.0.0.0/4 , за да видя колко адреса ще хвана по igmp - около 40. След като сработиха правилата, днес виждам че и по входящия DNS  вече е спокойно. Остана само една конекция, която доколкото разбирам е от частните адреси 10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8) и държи един постоянен трафик от 5-10Mbps (според зависи, колкое на кеф D:). Е моите силици и умствени възможности за момента са до тук. Доколкото успях да разбера по използвания порт:52755, това би трябвало да част облачна услуга (Xsan или  SANS - Ейпъл), която откъде идва и на къде отива, един господ знае...

111.png.a18ec286ac9696ecc26b9989ce5cc0ff.png

 

 

Edited by Стоян Иванов
Link to comment
Share on other sites

  • 0
  • Administrator
/ip firewall filter
add action=drop chain=forward comment="default configuration invalid drop" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=WAN

Хубаво е да има някои правила по подразбиране

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 1 час, byte написа:

Е тоя трафик мислиш ли, че се forward-ва ?

А какъв е шанса да не се подтиква от вътрешна заявка?

/ip firewall filter
add action=jump chain=input jump-target=icmp protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related,untracked
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

трябва да се разреши достъп отвън с по горестоящо правило 

/ip fi fi
add action=accept chain=input comment="allow port" dst-port=8291,3389,1723,500,433 protocol=tcp

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

И какво като го дропи,тои няма да спре да идва ? По добре се обади на доставчика си,само той може да спре този трафик,при условие че предлага иптв надали ще стане обаче.

  • Thanks 2

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0

Тези дни излязоха други проблеми за решаване и този остана на заден план, така че все още не съм намерил пълно решение. Всичко е филтрирано на входа + fasttrack и правила на nat-a. Мултикаста вече почти го няма или е пренебрежимо малък, но тази между 10.222.0.1 - 10.222.0.73 все още се появява понякога и си прави по 10-15М с часове. :D

Link to comment
Share on other sites

  • 0
  • Administrator

Оплачи се на доставчика проблема е от неговата мрежа.

  • Thanks 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.