Перейти до

Флуд роутеров Tenda, штормит весь VLAN


Рекомендованные сообщения

Периодически появляется проблема - начинается в сети жуткий флуд, штормит юникастом до 100Мбит/с. Начинаем разбираться - определяем что с одного или нескольких роутеров одновременно начинает идти передача паразитного трафика

 

Вот пример одного абонента - трафик на порту у абонента

image3png_5742918_24053542.png

 

вот как это отображается на других домах, которые находятся в этом же ВЛАНе. В правом верхнем углу картинка с домом абонента Спицкий. Идет передача и прием юникаст трафика. В остальных домах по всем портам идет паразитный юникаст трафик

image2png_8284352_24053572.png

 

Начинаем разбираться, обычно у такого абонента роутер TENDA. Обычно со старой прошивкой 2011г (но были случаи и с новой прошивкой). Часто бывает не установлен пароль на веб морду роутера или установлен стандартный пароль ADMIN ADMIN. 

 

Как можно с этим бороться? Почему Юникаст валит по всем портам во ВЛАНе? Почему именно Тенда?

Ссылка на сообщение
Поделиться на других сайтах

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

Ссылка на сообщение
Поделиться на других сайтах

 

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

 

З якими моделями Тенди проблеми ?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

 

З якими моделями Тенди проблеми ?

 

w316r и F3

Ссылка на сообщение
Поделиться на других сайтах

пробуйте разные прошивки для тенды

обычно помогает перепрошивка роутера на самую свежую прошивку и установка пароля на веб-морду. Однако, проблема в том, что Тенд много - абоненты напокупали, т.к. роутер один из самых дешевых. Работает, вроде бы, нормально, потом начинает колбасить сеть. Может можно на свичах как-то гасить этот шторм юникастовый?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Может можно на свичах как-то гасить этот шторм юникастовый?
 

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Может можно на свичах как-то гасить этот шторм юникастовый?
 

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

 

Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. 

Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

Відредаговано hillers
Ссылка на сообщение
Поделиться на других сайтах

 

 

Может можно на свичах как-то гасить этот шторм юникастовый?
 

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

 

Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. 

Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

 

Ссылка на сообщение
Поделиться на других сайтах

Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета.

Ссылка на сообщение
Поделиться на других сайтах

Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета.

Очень на это похоже. Но как бороться - пока не определились. Пока что вычисляем флудящий роутер, отключаем абонента, потом разбираемся. Т.е действуем по факту выявления гадящего абонента.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе

легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам.

 

смотрите фильтры unknown unicast.

Ссылка на сообщение
Поделиться на других сайтах

 

Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе

легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам.

 

смотрите фильтры unknown unicast.

 

 

Спасибо, очень похоже на это - UNKNOWN DESTINATION UNICAST

 

Пока что нашел команду на свитче, которая ограничивает полосу:

 

3.1.12 rate-suppression
Command: rate-suppression {dlf | broadcast | multicast} <Kbits>
no rate-suppression {dlf | broadcast | multicast}
Function: Sets the traffic limit for broadcasts, multicasts and unknown destination unicasts on all ports in the switch; the no command disables this traffic suppression function on all ports in the switch, i.e., enables broadcasts, multicasts and unknown destination unicasts to pass through the switch at line speed.
 
Еще бы отрубать порт абоненту, у которого идет паразитный трафик
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...