Флуд роутеров Tenda, штормит весь VLAN

hillers · 2016-11-15 14:03:26

Периодически появляется проблема - начинается в сети жуткий флуд, штормит юникастом до 100Мбит/с. Начинаем разбираться - определяем что с одного или нескольких роутеров одновременно начинает идти передача паразитного трафика

Вот пример одного абонента - трафик на порту у абонента

вот как это отображается на других домах, которые находятся в этом же ВЛАНе. В правом верхнем углу картинка с домом абонента Спицкий. Идет передача и прием юникаст трафика. В остальных домах по всем портам идет паразитный юникаст трафик

Начинаем разбираться, обычно у такого абонента роутер TENDA. Обычно со старой прошивкой 2011г (но были случаи и с новой прошивкой). Часто бывает не установлен пароль на веб морду роутера или установлен стандартный пароль ADMIN ADMIN.

Как можно с этим бороться? Почему Юникаст валит по всем портам во ВЛАНе? Почему именно Тенда?

Дмитро · 2016-11-15 14:38:25

Много раз с таким сталкивался. Выбрасываем тенду.

hillers · 2016-11-15 14:41:24

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

magamel · 2016-11-15 14:43:01

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

З якими моделями Тенди проблеми ?

hillers · 2016-11-15 14:48:36

Много раз с таким сталкивался. Выбрасываем тенду.

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

З якими моделями Тенди проблеми ?

w316r и F3

winbox · 2016-11-15 16:03:52

пробуйте разные прошивки для тенды

hillers · 2016-11-15 16:19:58

пробуйте разные прошивки для тенды

обычно помогает перепрошивка роутера на самую свежую прошивку и установка пароля на веб-морду. Однако, проблема в том, что Тенд много - абоненты напокупали, т.к. роутер один из самых дешевых. Работает, вроде бы, нормально, потом начинает колбасить сеть. Может можно на свичах как-то гасить этот шторм юникастовый?

KaYot · 2016-11-15 16:25:19

Может можно на свичах как-то гасить этот шторм юникастовый?

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

hillers · 2016-11-15 16:54:39

Может можно на свичах как-то гасить этот шторм юникастовый?

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт.

Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

Edited 2016-11-15 16:57:00 by hillers

hillers · 2016-11-15 16:56:13

Может можно на свичах как-то гасить этот шторм юникастовый?

Можно, делаете vlan на юзера и забываете вообще о понятии шторм.

Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт.

Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

hailnora · 2016-11-15 17:25:40

Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета.

hillers · 2016-11-15 17:31:27

Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета.

Очень на это похоже. Но как бороться - пока не определились. Пока что вычисляем флудящий роутер, отключаем абонента, потом разбираемся. Т.е действуем по факту выявления гадящего абонента.

NiTr0 · 2016-11-15 19:11:35

Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе

легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам.

смотрите фильтры unknown unicast.

hillers · 2016-11-16 09:49:16

Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе

легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам.

смотрите фильтры unknown unicast.

Спасибо, очень похоже на это - UNKNOWN DESTINATION UNICAST

Пока что нашел команду на свитче, которая ограничивает полосу:

3.1.12 rate-suppression

Command: rate-suppression {dlf | broadcast | multicast} <Kbits>

no rate-suppression {dlf | broadcast | multicast}

Function: Sets the traffic limit for broadcasts, multicasts and unknown destination unicasts on all ports in the switch; the no command disables this traffic suppression function on all ports in the switch, i.e., enables broadcasts, multicasts and unknown destination unicasts to pass through the switch at line speed.

Еще бы отрубать порт абоненту, у которого идет паразитный трафик

Sign In

Флуд роутеров Tenda, штормит весь VLAN

Recommended Posts

hillers 1

Link to post

Share on other sites

Дмитро 320

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

magamel 3

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

winbox 15

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

KaYot 3,737

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

hailnora 128

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

NiTr0 585

Link to post

Share on other sites

hillers 1

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members