Jump to content
  • 0

Флууд по igmp?


Стоян Иванов

Въпрос

Добър ден момчета. Имам един проблем, който няколко дни вече не мога да реша и затова се обръщам към вас, по-разбиращите за помощ. Преди седмица поставих един микротик в офис, в който имаха оплаквания от проблеми с нета и чести прекъсвания. Първата ми стъпка бе да заменя съществуващия netgear с hap-lite и проблемните им места се видяха. Мисля че  ги отстаних, но остана един неприятен флууд по igmp (multicast), които вече нямам идея как да погася. Изглежда ми като Dos от спуфнати адреси, защото в Interface/torch  виждам заявки от няколко почти цели мрежи. Написах доста правила, но сякаш колкото повече рестрикции слагам, толкова по-брутален става. В началото бе 3-4Mbps, а сега на моменти достига 13-15Mbps. Недостатъчен е за да запълни канала и свързаност има, нета не пада, но ме е яд, че вече нямам идея как да противостоя на това. В мрежата има ДВР с камери по коаксиал плюс две  по ip. Разгледал съм им настройките и мисля че при тях няма проблем, но като гледам резултатите съмненията ми падат върху тях и един мрежови WIFI принтер, които за момента съм изключил . Някакви идеи какво е това чудо и може ли да се погаси по някакъв начин?5a6dc5d044d91_1.png.f2931399764b01692c9554f2709cae52.png5a6dc5d2bfe37_2.thumb.png.bf89e7f7891508339528a1fea3bebe90.png5a6dc5d3f1efc_3.thumb.jpg.a786617e7b0b164b832505c59db2c1b8.jpg5a6dc5d2bfe37_2.thumb.png.bf89e7f7891508339528a1fea3bebe90.png

wan.jpg

Единственото устройство с конекция по igmp е тъпия принтер.

Без име4.png

Адрес на коментара
Сподели в други сайтове

13 отговори на този въпрос

Recommended Posts

  • 0

Да, отвън е. Но има ли търсене, има и предлагане. Затова реших да намеря устройството което търси. Наблюдавайки и днес следобед логовете, съм сигурен че търсенето идва от принтера, които се опитва да вкара адреси от публичната мрежа в лана.

conn2.png.a1a46b33b8802f39a0d2e7ebee0dbd41.pngprint.png.8ab7ff1bdba63bb1c6d2721ec31667c1.png

Някъде сред всички конекции, се маскира  една връзка която признавам си, нямам идея от къде идва, накъде отива и най-вече, как успява да мине  през борда и да генерира трафик.

conn.png.79b1216b17700080a6a78e4522205511.png

В случая доставчика е Телекабел, които има и услуга IPTV, но се съмнявам да са толкова смотани за да си нафлудят цялата мрежа с мултикаст!?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

В микротик има една приятна реализация RAW която дропва всичко преди да е стигнало на софтуерния firewall.

Добави комуникацията на принтера с интернет в тази графа и кажи какъв е резултата.

Погледни и ДНС кеша в какво състояние е.

  • Харесай 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 8 часа, 111111 написа:

В микротик има една приятна реализация RAW която дропва всичко преди да е стигнало на софтуерния firewall.

Добави комуникацията на принтера с интернет в тази графа и кажи какъв е резултата.

Погледни и ДНС кеша в какво състояние е.

Днес минах през офиса и погледнах как стоят нещата с конфигурацията на въпросния принтер. Хората си бяха пуснали всички "благинки" които могат да се пуснат. UPnP, Уеб печат и тн. Спрях ненужните и несигурни неща, сложих му една добра парола и принтера се кротна. Колкото пъти проверих логовете днес, не го видях никъде. Още миналата седмица дропих целия мултикаст на входа, но снощи след като видях коментара на byte реших да си направя труда и да напиша едно правило с blacklist на  224.0.0.0/4 , за да видя колко адреса ще хвана по igmp - около 40. След като сработиха правилата, днес виждам че и по входящия DNS  вече е спокойно. Остана само една конекция, която доколкото разбирам е от частните адреси 10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8) и държи един постоянен трафик от 5-10Mbps (според зависи, колкое на кеф D:). Е моите силици и умствени възможности за момента са до тук. Доколкото успях да разбера по използвания порт:52755, това би трябвало да част облачна услуга (Xsan или  SANS - Ейпъл), която откъде идва и на къде отива, един господ знае...

111.png.a18ec286ac9696ecc26b9989ce5cc0ff.png

 

 

Редактирано от Стоян Иванов
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
/ip firewall filter
add action=drop chain=forward comment="default configuration invalid drop" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=WAN

Хубаво е да има някои правила по подразбиране

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, byte написа:

Е тоя трафик мислиш ли, че се forward-ва ?

А какъв е шанса да не се подтиква от вътрешна заявка?

/ip firewall filter
add action=jump chain=input jump-target=icmp protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related,untracked
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

трябва да се разреши достъп отвън с по горестоящо правило 

/ip fi fi
add action=accept chain=input comment="allow port" dst-port=8291,3389,1723,500,433 protocol=tcp

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

И какво като го дропи,тои няма да спре да идва ? По добре се обади на доставчика си,само той може да спре този трафик,при условие че предлага иптв надали ще стане обаче.

  • Благодаря 2

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0

Тези дни излязоха други проблеми за решаване и този остана на заден план, така че все още не съм намерил пълно решение. Всичко е филтрирано на входа + fasttrack и правила на nat-a. Мултикаста вече почти го няма или е пренебрежимо малък, но тази между 10.222.0.1 - 10.222.0.73 все още се появява понякога и си прави по 10-15М с часове. :D

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Оплачи се на доставчика проблема е от неговата мрежа.

  • Благодаря 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Similar Content

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.