hillers 1 Опубликовано: 2016-11-15 14:03:26 Share Опубликовано: 2016-11-15 14:03:26 Периодически появляется проблема - начинается в сети жуткий флуд, штормит юникастом до 100Мбит/с. Начинаем разбираться - определяем что с одного или нескольких роутеров одновременно начинает идти передача паразитного трафика Вот пример одного абонента - трафик на порту у абонента вот как это отображается на других домах, которые находятся в этом же ВЛАНе. В правом верхнем углу картинка с домом абонента Спицкий. Идет передача и прием юникаст трафика. В остальных домах по всем портам идет паразитный юникаст трафик Начинаем разбираться, обычно у такого абонента роутер TENDA. Обычно со старой прошивкой 2011г (но были случаи и с новой прошивкой). Часто бывает не установлен пароль на веб морду роутера или установлен стандартный пароль ADMIN ADMIN. Как можно с этим бороться? Почему Юникаст валит по всем портам во ВЛАНе? Почему именно Тенда? Ссылка на сообщение Поделиться на других сайтах
Дмитро 320 Опубліковано: 2016-11-15 14:38:25 Share Опубліковано: 2016-11-15 14:38:25 Много раз с таким сталкивался. Выбрасываем тенду. Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 14:41:24 Автор Share Опубліковано: 2016-11-15 14:41:24 Много раз с таким сталкивался. Выбрасываем тенду. У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами? Ссылка на сообщение Поделиться на других сайтах
magamel 3 Опубліковано: 2016-11-15 14:43:01 Share Опубліковано: 2016-11-15 14:43:01 Много раз с таким сталкивался. Выбрасываем тенду. У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами? З якими моделями Тенди проблеми ? Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 14:48:36 Автор Share Опубліковано: 2016-11-15 14:48:36 Много раз с таким сталкивался. Выбрасываем тенду. У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами? З якими моделями Тенди проблеми ? w316r и F3 Ссылка на сообщение Поделиться на других сайтах
winbox 15 Опубліковано: 2016-11-15 16:03:52 Share Опубліковано: 2016-11-15 16:03:52 пробуйте разные прошивки для тенды Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 16:19:58 Автор Share Опубліковано: 2016-11-15 16:19:58 пробуйте разные прошивки для тенды обычно помогает перепрошивка роутера на самую свежую прошивку и установка пароля на веб-морду. Однако, проблема в том, что Тенд много - абоненты напокупали, т.к. роутер один из самых дешевых. Работает, вроде бы, нормально, потом начинает колбасить сеть. Может можно на свичах как-то гасить этот шторм юникастовый? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 606 Опубліковано: 2016-11-15 16:25:19 Share Опубліковано: 2016-11-15 16:25:19 Может можно на свичах как-то гасить этот шторм юникастовый? Можно, делаете vlan на юзера и забываете вообще о понятии шторм. Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 16:54:39 Автор Share Опубліковано: 2016-11-15 16:54:39 (відредаговано) Может можно на свичах как-то гасить этот шторм юникастовый? Можно, делаете vlan на юзера и забываете вообще о понятии шторм. Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах? Відредаговано 2016-11-15 16:57:00 hillers Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 16:56:13 Автор Share Опубліковано: 2016-11-15 16:56:13 Может можно на свичах как-то гасить этот шторм юникастовый? Можно, делаете vlan на юзера и забываете вообще о понятии шторм. Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах? Ссылка на сообщение Поделиться на других сайтах
hailnora 128 Опубліковано: 2016-11-15 17:25:40 Share Опубліковано: 2016-11-15 17:25:40 Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета. Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-15 17:31:27 Автор Share Опубліковано: 2016-11-15 17:31:27 Может, в Тенды вшиты бэкдоры? Или же ломают по стандартным логину/паролю, заливают скрипт и роутер становится частью ботнета. Очень на это похоже. Но как бороться - пока не определились. Пока что вычисляем флудящий роутер, отключаем абонента, потом разбираемся. Т.е действуем по факту выявления гадящего абонента. Ссылка на сообщение Поделиться на других сайтах
NiTr0 583 Опубліковано: 2016-11-15 19:11:35 Share Опубліковано: 2016-11-15 19:11:35 Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам. смотрите фильтры unknown unicast. Ссылка на сообщение Поделиться на других сайтах
hillers 1 Опубліковано: 2016-11-16 09:49:16 Автор Share Опубліковано: 2016-11-16 09:49:16 Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам. смотрите фильтры unknown unicast. Спасибо, очень похоже на это - UNKNOWN DESTINATION UNICAST Пока что нашел команду на свитче, которая ограничивает полосу: 3.1.12 rate-suppression Command: rate-suppression {dlf | broadcast | multicast} <Kbits> no rate-suppression {dlf | broadcast | multicast} Function: Sets the traffic limit for broadcasts, multicasts and unknown destination unicasts on all ports in the switch; the no command disables this traffic suppression function on all ports in the switch, i.e., enables broadcasts, multicasts and unknown destination unicasts to pass through the switch at line speed. Еще бы отрубать порт абоненту, у которого идет паразитный трафик Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас