DimonXP 0 Опубликовано: 2010-12-11 22:08:55 Share Опубликовано: 2010-12-11 22:08:55 Добрый вечер, хотелось бы проконсультироваться по поводу проблемы, которая возникает уже второй раз на MT RB433AH. Данная плата используется как Базовая станция, на ней поднят PPPoE сервер авторизации, DHCP сервер, NAT маскарадит каждого юзера в отдельности и при промощи Queuenes ограничивает скорость. Все работает стабильно, но однажды графики загрузки памяти ушли в полочку на 128MiB в течении суток. Перезагрузил роутер - загрузка меньше 30.... прошло около месяца - ситуация повторилась... Прикладываю скрин, может у кого был похожий глюк, и как он решился? Даже не знаю где копать, в логах найти что-то странное врядли получится - они "забиваються" в реальном времени. Всем заранее спасибо за помощь! Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-11 22:50:37 Share Опубліковано: 2010-12-11 22:50:37 Первое что нужно сделать в такой ситуации - попробовать обновить версию RouterOS. Кстати какая у тебя? Если обновляться некуда, нужно наоборот попробовать сделать даунгрейд. Второе - сделать supout.rif и отправить в техподдержку mikrotik. Мне еще ни разу не помогли, но чем черт не шутит? У меня была похожая проблема, только на X86. Я ее вот сдесь обсуждал http://forum.ixbt.com/topic.cgi?id=14:51096 А... еще пробуй фаервол настроить, ибо утечки памяти часто с атаками связаны. Ссылка на сообщение Поделиться на других сайтах
DimonXP 0 Опубліковано: 2010-12-11 23:04:22 Автор Share Опубліковано: 2010-12-11 23:04:22 версия 4.10. сейчас почитаю темку! спасибо! Ссылка на сообщение Поделиться на других сайтах
DimonXP 0 Опубліковано: 2010-12-12 12:43:42 Автор Share Опубліковано: 2010-12-12 12:43:42 Продолжение... Отключил в файволе Log input, таким образом лог стал читаемым, и вот что интересное происходит помимо стандартных подключений/отключений юзеров : 16:27:28 pppoe,info PPPoE connection established from 00:15:6D:xx:xx:xx 16:27:28 pppoe,ppp,info <pppoe-0>: waiting for call... 16:27:30 pppoe,ppp,info <pppoe-0>: authenticated 16:27:32 pppoe,ppp,info <pppoe-0>: connected 16:27:32 pppoe,ppp,info,account user21 logged in, 10.20.1.21 16:30:29 wireless,info 00:15:6D:xx:xx:xx@2.4 GHz: disconnected, extensive data loss 16:30:30 wireless,info 2.4 GHz: data from unknown device 00:15:6D:xx:xx:xx, sent deauth 16:30:30 wireless,info 2.4 GHz: data from unknown device 00:15:6D:xx:xx:xx, sent deauth 16:30:30 wireless,info 2.4 GHz: data from unknown device 00:15:6D:xx:xx:xx, sent deauth 16:30:31 wireless,info 00:15:6D:xx:xx:xx@2.4 GHz: connected 16:30:57 wireless,info 00:15:6D:xx:xx:xx@2.4 GHz: disconnected, extensive data loss 16:30:58 wireless,info 2.4 GHz: data from unknown device 00:15:6D:xx:xx:xx, sent deauth 16:30:59 wireless,info 00:15:6D:xx:xx:xx@2.4 GHz: connected Вообщем, связано ли оно с проблемой загрузки, или нет - неизвестно, но сам факт того что юзеров отключает не есть хорошо добавил: [admin@MikroTik] > /system logging [admin@MikroTik] system logging> add topics=wireless,debug action=memory Как написано в мануале http://wiki.mikrotik.com/wiki/Wireless_Debug_Logs Нанос выпадающего клиента показывает: Signal Strength: от -74 dBm до -77 dBm Transmit CCQ: плавает до 82% Микротик выдает по клиенту: Signal Strength: -84 dBmTX Signal Strength: -77 dBm Signal to noise: от 6 dB до 14 dB Tx/Rx CCQ: 73/87 % Ссылка на сообщение Поделиться на других сайтах
DimonXP 0 Опубліковано: 2010-12-12 17:01:12 Автор Share Опубліковано: 2010-12-12 17:01:12 Извиняюсь за спам, но при большем числе известных задачу будет проще решить. Итак сработал дебагер (кстати это уже мак другого юзера): 20:34:35 wireless,info 00:15:6D:yy:yy:yy@2.4 GHz: connected 20:44:57 wireless,info 00:15:6D:yy:yy:yy@2.4 GHz: disconnected, extensive data loss 20:45:00 wireless,info 2.4 GHz: data from unknown device 00:15:6D:yy:yy:yy, sent deauth 20:45:00 wireless,info 2.4 GHz: data from unknown device 00:15:6D:yy:yy:yy, sent deauth 20:45:00 wireless,info 2.4 GHz: data from unknown device 00:15:6D:yy:yy:yy, sent deauth 20:45:00 wireless,info 2.4 GHz: data from unknown device 00:15:6D:yy:yy:yy, sent deauth 20:45:00 wireless,debug 2.4 GHz: 00:15:6D:yy:yy:yy attempts to associate 20:45:00 wireless,debug 2.4 GHz: 00:15:6D:yy:yy:yy not in local ACL, by default accept 20:45:00 wireless,info 00:15:6D:yy:yy:yy@2.4 GHz: connected Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-12 17:07:06 Share Опубліковано: 2010-12-12 17:07:06 Авторизация у тебя как проходит? Один ключ на всех? Опиши подробно настройки. Очень похоже на сбор ivs. Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-12 17:09:06 Share Опубліковано: 2010-12-12 17:09:06 Кстати, не потому ли память у тебя забивается что ты логи все в память скидаешь? Пробуй отключить логирование, либо лимиты какие-то выставить, либо в идеальном варианте включить удаленное логирование. Ссылка на сообщение Поделиться на других сайтах
DimonXP 0 Опубліковано: 2010-12-12 17:33:22 Автор Share Опубліковано: 2010-12-12 17:33:22 Сеть у меня открытая. т.е. любой желающий может законектиться, но чтоб попасть в интернет необходимо авторизоваться используя РРРоЕ соединение. Находится в глухом селе, эфир чистый и "левых" подключений нету. Логирование отключил еще вчера ночью. Сейчас ведеться только лог wireless, pppoe, и system error. Раньше логировалось все, и в реальном времени просматривать логи - как будто смотреть фильм матрица. После вчерашней перезагрузки - график пополз вверх моментально ЗЫ: 10 минут назад пошел брутфорс по ssh: 21:20:35 system,error,critical login failure for user divine from 218.94.107.84 via ssh 21:20:39 system,error,critical login failure for user popa3d from 218.94.107.84 via ssh 21:20:43 system,error,critical login failure for user aptproxy from 218.94.107.84 via ssh 21:20:46 system,error,critical login failure for user desktop from 218.94.107.84 via ssh 21:20:50 system,error,critical login failure for user workshop from 218.94.107.84 via ssh 21:20:53 system,error,critical login failure for user mailnull from 218.94.107.84 via ssh 21:20:57 system,error,critical login failure for user nfsnobody from 218.94.107.84 via ssh 21:21:01 system,error,critical login failure for user rpcuser from 218.94.107.84 via ssh 21:21:04 system,error,critical login failure for user rpc from 218.94.107.84 via ssh 21:21:08 system,error,critical login failure for user gopher from 218.94.107.84 via ssh ЗЗЫ: В фаерволе создавал правило для дропа брудфорса: Action: dropChain: input Protocol: 6 (tcp) Dst port: 22 Src addres list: ssh_blacklist Может коряво настроено? Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-12 17:49:01 Share Опубліковано: 2010-12-12 17:49:01 От брутфорса очень легко защититься. http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention Версию обновить еще не попробовали? Также попробуйте закрыть весь input в фаерволе (оч хороший пример вот сдесь http://wiki.mikrotik.com/wiki/Securing_your_router во второй части) Раз к вам ломятся брутфорсеры, я так понимаю у вашего роутера есть реальный айпи, потому фаервол очень желательно настроить... Только будте аккуратны с удаленной настройкой фаервола, это плохая примета... к дороге... =) Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-12 17:51:42 Share Опубліковано: 2010-12-12 17:51:42 Action: dropChain: input Protocol: 6 (tcp) Dst port: 22 Src addres list: ssh_blacklist Может коряво настроено? Это правило отбрасывает все соединения с айпишников, находящихся в списке ssh_blacklist, но еще нужно как минимум одно правило, которое в єтот список будет когото добавлять =) Ссылка на сообщение Поделиться на других сайтах
DimonXP 0 Опубліковано: 2010-12-12 18:00:46 Автор Share Опубліковано: 2010-12-12 18:00:46 Обновлять не пробовал, база находится почти за 200км, потому сейчас очень неудобно будет ехать в случае неудачной прошивки. Айпишник белый, в случае потери управления прийдется либо ехать, либо учить юзеров управлению микротиком Кстати, загрузка упала и опять пошла вверх. Очень похоже на сбор ivs. Не могли бы объяснить что это значит? Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2010-12-12 18:46:49 Share Опубліковано: 2010-12-12 18:46:49 Раз у вас открытая точка доступа, то это не сбор ivs. IVs єто такие пакеты, с которых берется информация для взлома WEP шифрования. Для єтого точке доступа посылают специально сформированые пакеты, чтобы деаутентифицировать подключенного клиента, и при новой попытке аутентификации получить нужные ivs. Просто увидел у вас в логе "...from unknown device 00:15:6D:yy:yy:yy, sent deauth" потому подумал что ктото именно єтим и занимается. Очень и очень странно что загрузка у вас сама падает... Єто на 90% свидетельстувет что єто не утечка памяти из за бага... Потому что утечки сами не пропадают без перезагрузки. Потому советую вам поехать поближе к етой точке и насторить фаервол... Сравните графики входящего и выходящего трафика... А еще лучше количество пакетов... возможно вас ddosят Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас