форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Перегрузка сети большим числом коротких пакетов."
Сообщение от kos (??) on 05-Апр-05, 15:13  (MSK)
Ситуация следующая: Имяется локальная сеть ~ 6000 компьютеров В центре роутер от него отходят свичи, к которым подключены клиенты. Иногда возникает следующая ситуация. Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже до полной недоступности роутера). На свичах эта нагрузка ни как не проявляется, поскольку они работает на 2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP пакетов. Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов сети или компьютеров и т.д.). Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Перегрузка сети большим числом коротких пакетов."
Сообщение от Сайко on 05-Апр-05, 15:14  (MSK)
Выявлять нужно по netflow
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от Сайко on 05-Апр-05, 15:23  (MSK)
	P.S. У CISCO есть даже спецальные устройства - всякие TRAFFIC ANOMALY DETECTOR и TRAFFIC ANOMALY GUARD http://www.cisco.com/en/US/products/ps5887/index.html Стоят безумные деньги. ex. Riverhead Networks кажецца
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от kos (??) on 05-Апр-05, 16:16  (MSK)
	>Выявлять нужно по netflow В netflow показываются прошедшие успешно сеансы обмена пакетами. А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается их смаршрутизировать и не может, но ресурсы при этом тратит. В Netflow эти пакеты не отражаются.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от Сайко on 05-Апр-05, 16:26  (MSK)
	>>Выявлять нужно по netflow >В netflow показываются прошедшие успешно сеансы обмена пакетами. >А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается >их смаршрутизировать и не может, но ресурсы при этом тратит. В >Netflow эти пакеты не отражаются. Вау! Свой proprietary нетфлов чтоли написали ;) Написали какой то бред... Скорее всего даже не проверяли. Будут они будут - только в DstIf будет cтоять Null. Проверьте по show ip cache flow!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от kos (??) on 05-Апр-05, 17:00  (MSK)
	>>>Выявлять нужно по netflow >>В netflow показываются прошедшие успешно сеансы обмена пакетами. >>А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается >>их смаршрутизировать и не может, но ресурсы при этом тратит. В >>Netflow эти пакеты не отражаются. > >Вау! Свой proprietary нетфлов чтоли написали ;) >Написали какой то бред... Скорее всего даже не проверяли. >Будут они будут - только в DstIf будет cтоять Null. >Проверьте по show ip cache flow! Да действительно Вы правы. Возможно так и придется сделать. Включить поддержку Netflow, перенаправлять ее на NetFlow сервер, анализировать лог NetFlow сервера, выдавать тревожные сигналы в случае начала сетевой атаки и затем блокировать зараженную машину. Только есть сомнения не будет ли NetFlow траффик серьезно грузить сеть и сам роутер.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Перегрузка сети большим числом коротких пакетов."
Сообщение от Nailer (??) on 05-Апр-05, 15:30  (MSK)
>Ситуация следующая: >Имяется локальная сеть ~ 6000 компьютеров >В центре роутер от него отходят свичи, к которым подключены клиенты. > >Иногда возникает следующая ситуация. >Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >до полной недоступности роутера). >На свичах эта нагрузка ни как не проявляется, поскольку они работает на >2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). > >Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >пакетов. > >Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >сети или компьютеров и т.д.). >Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >бы быстро выявить источник "плохих" пакетов и быстро отреагировать. Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. Второй вариант, который пока я не проверял, но двано просится в голову - если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL и т.д. - попробовать unicast storm control, который срезал бы пакеты выше определенного количества в секунду. Только надо хорошо подбирать значения потока, выше которого будет срезание. Детекировать такую машину будете по жалбое юзера, что у него сеть не пашет.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от kos (??) on 05-Апр-05, 16:39  (MSK)
	>>Ситуация следующая: >>Имяется локальная сеть ~ 6000 компьютеров >>В центре роутер от него отходят свичи, к которым подключены клиенты. >> >>Иногда возникает следующая ситуация. >>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >>до полной недоступности роутера). >>На свичах эта нагрузка ни как не проявляется, поскольку они работает на >>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). >> >>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >>пакетов. >> >>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >>сети или компьютеров и т.д.). >>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. > >Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную >на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. У нас роутер HP 9308m (178 million pps ). Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна тем, что на уровне L2 ни какой нагрузки не видно, а на L3 все виснет. У нас была ситуация что 1 машина таким вот образом завесила роутер. Так что это не выход купить более мощный роутер. А если зараженных компов будет 10,100 то любой роутер не справится. >Второй вариант, который пока я не проверял, но двано просится в голову >- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL >и т.д. - попробовать unicast storm control, который срезал бы пакеты >выше определенного количества в секунду. Только надо хорошо подбирать значения потока, >выше которого будет срезание. Детекировать такую машину будете по >жалбое юзера, что у него сеть не пашет. На втором уровне нагрузка не видна.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от Nailer (??) on 06-Апр-05, 15:57  (MSK)
	>>>Ситуация следующая: >>>Имяется локальная сеть ~ 6000 компьютеров >>>В центре роутер от него отходят свичи, к которым подключены клиенты. >>> >>>Иногда возникает следующая ситуация. >>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >>>до полной недоступности роутера). >>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на >>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). >>> >>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >>>пакетов. >>> >>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >>>сети или компьютеров и т.д.). >>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. >> >>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную >>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. > >У нас роутер HP 9308m (178 million pps ). >Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна >тем, что на уровне L2 ни какой нагрузки не видно, а >на L3 все виснет. >У нас была ситуация что 1 машина таким вот образом завесила роутер. > >Так что это не выход купить более мощный роутер. А если зараженных >компов будет 10,100 то любой роутер не справится. > >>Второй вариант, который пока я не проверял, но двано просится в голову >>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL >>и т.д. - попробовать unicast storm control, который срезал бы пакеты >>выше определенного количества в секунду. Только надо хорошо подбирать значения потока, >>выше которого будет срезание. Детекировать такую машину будете по >>жалбое юзера, что у него сеть не пашет. >На втором уровне нагрузка не видна. Соглашусь с mc несколькими постами ниже - у вас что-то не в порядке с самим роуетером. 178 million pps в сек. комп на 100 мегабитах сгенерировать просто не в состоянии.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Перегрузка сети большим числом коротких пакетов."
Сообщение от Helldriver (ok) on 05-Апр-05, 15:45  (MSK)
>Ситуация следующая: >Имяется локальная сеть ~ 6000 компьютеров >В центре роутер от него отходят свичи, к которым подключены клиенты. > >Иногда возникает следующая ситуация. >Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >до полной недоступности роутера). >На свичах эта нагрузка ни как не проявляется, поскольку они работает на >2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). > >Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >пакетов. > >Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >сети или компьютеров и т.д.). >Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >бы быстро выявить источник "плохих" пакетов и быстро отреагировать. Учитывая, что 99,(9)% вирусов используют одни и те же порты для своих рассылок, может, стоит попробовать создать ACL на эти порты и rate-shape'ить по нему интерфейсы рутера? Да и вообще, есть ли резон пропускать через рутер MS NetBIOS, чьи порты в массе вирусы и используют? Может, стоит обойтись без него?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Перегрузка сети большим числом коротких пакетов."
	Сообщение от mc (??) on 06-Апр-05, 15:50  (MSK)
	Используем hp9304 тоже самое что и 08 только слотов меньше в сети порядка 12000 клиентов, рабочая нагрузка по sh cpu 1% роутит порядка 200 сеток /24 либо вы используете програмный АСЛ либо не правильно определены размеры САМ таблиц. Такой агрегат положить очень тяжело разбирайтесь :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.