URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 105
[ Назад ]

Исходное сообщение
"ip virtual-reassembly & GRE tunnel"
Отправлено VolanD , 04-Сен-12 11:38

Добрый день!
Есть циско роутер Cisco 881, на нем есть туннельный интерфейс, через который клиенты ходят в интернет (НАТ соответсвенно на нем). Все прекрасно работает, но беспокоят периодические сообщения IP_VFR-3-OVERLAP_FRAGMENTS.
Конфиг интерфейса:
ip address Y.Y.Y.Y 255.255.255.248
ip access-group ExtendedACL out
ip mtu 1416
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1300
tunnel source FastEthernet4
tunnel destination X.X.X.X
Собственно вопрос, как так происходит? Ну это явно не атака на роутер? Чувствую, что это из-за DF, но почему происходит оверлап?

Содержание

ip virtual-reassembly & GRE tunnel,Денис, 19:46 , 04-Сен-12
- ip virtual-reassembly & GRE tunnel,VolanD, 06:13 , 05-Сен-12
ip virtual-reassembly & GRE tunnel,Myxa, 17:26 , 05-Сен-12

Сообщения в этом обсуждении

"ip virtual-reassembly & GRE tunnel"
Отправлено Денис , 04-Сен-12 19:46

>[оверквотинг удален]
>  ip address Y.Y.Y.Y 255.255.255.248
>  ip access-group ExtendedACL out
>  ip mtu 1416
>  ip nat outside
>  ip virtual-reassembly in
>  ip tcp adjust-mss 1300
>  tunnel source FastEthernet4
>  tunnel destination X.X.X.X
> Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
> Чувствую, что это из-за DF, но почему происходит оверлап?
Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?

"ip virtual-reassembly & GRE tunnel"
Отправлено VolanD , 05-Сен-12 06:13

>[оверквотинг удален]
>>  ip access-group ExtendedACL out
>>  ip mtu 1416
>>  ip nat outside
>>  ip virtual-reassembly in
>>  ip tcp adjust-mss 1300
>>  tunnel source FastEthernet4
>>  tunnel destination X.X.X.X
>> Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
>> Чувствую, что это из-за DF, но почему происходит оверлап?
> Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?
Да совсем даже в тему. Ну циска говорит:
in   Enable VFR on Ingress
out  Enable VFR on Egress
Подробностей не нашел, но могу предположить, что при выходе с интерфейса она также собирает "в уме".

"ip virtual-reassembly & GRE tunnel"
Отправлено Myxa , 05-Сен-12 17:26

Ошибка говорит о том, что не совпадают оффсеты фрагментов и в том числе может свидетельствовать об атаке (Overlapping Fragment Attack). Хотя подобные симптомы может вызывать и торрент.
cle ip traff и попозже
show ip traffic | i fragm|reass|unreach
смотрите что там у вас с фрагментацией.
Дальше как варианты, зависит также от типа трафика:
- скидывать DF bit (в случае с UDP)
- ip virtual-reassembly max-fragments
- ip virtual-reassembly drop-fragments
Может есть смысл настроить ip inspect