URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 736
[ Назад ]

Исходное сообщение
"хотелось бы знать что это за мусор?"
Отправлено shavkat , 07-Май-13 09:34

у меня в сети используется как Core устройство Cisco7613, гда на нем поднят Netflow для сбора статистики Биллинга, так вот, у меня есть входящий к нему порт и выходящий в сторону  Интернета.
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Vl666         172.18.66.178   Vl253         129.9.0.50      11 A692 0035     1
Vl666         192.168.9.10    Vl253         10.59.6.36      01 0000 0800     1
Vl666         192.168.9.10    Vl253         172.17.87.153   01 0000 0800     1

Vlan666 это тот Vlan который относится за входящий порт со стороны абонентов которые хотят выйти в интернет, а Vlan 253 это тот Vlan который смотрит в сторону Border Router, так вот, данные сети как 172.18.66.178, 129.9.0.50, 192.168.9.10, 10.59.6.36 не маршрутизируются в моей сети, а в таблице netflow по команде show ip cache flow они видны, хочу отметить, что таких сетей еще много, я дал примерные.
основная проблема в том, что у меня забивается Cash Нетфлова, и теряются пакеты которые нужны.
у кого нить есть идеи как избежать данную ситуацию ?
спасибо!

Содержание

хотелось бы знать что это за мусор?,vigogne, 10:58 , 07-Май-13
- хотелось бы знать что это за мусор?,shavkat, 17:15 , 07-Май-13
  - хотелось бы знать что это за мусор?,vigogne, 20:21 , 07-Май-13
- хотелось бы знать что это за мусор?,shavkat, 16:19 , 08-Май-13
хотелось бы знать что это за мусор?,BJ, 20:00 , 09-Май-13

Сообщения в этом обсуждении

"хотелось бы знать что это за мусор?"
Отправлено vigogne , 07-Май-13 10:58

> у кого нить есть идеи как избежать данную ситуацию ?
> спасибо!
Первое, что приходит на ум, это какая-то гадость пытается DDoS'ить изнутри. Послушайте снифером, что откуда берется.

"хотелось бы знать что это за мусор?"
Отправлено shavkat , 07-Май-13 17:15

ну для этого мне надо будет обойти всю мою топологию колец? млин что то не реально, мож мне просто надо АСЛами обойтись ?
>> у кого нить есть идеи как избежать данную ситуацию ?
>> спасибо!
> Первое, что приходит на ум, это какая-то гадость пытается DDoS'ить изнутри. Послушайте
> снифером, что откуда берется.

"хотелось бы знать что это за мусор?"
Отправлено vigogne , 07-Май-13 20:21

> ну для этого мне надо будет обойти всю мою топологию колец? млин
> что то не реально, мож мне просто надо АСЛами обойтись ?
Мсье, Властелин колец? ;)))
А если серьезно, совсем не обязательно обходить все. Зазеркальте весь vlan666 на один порт, и сделайте фильтр, чтобы в вывод не попадали пакеты с dst равным известным сетям...

"хотелось бы знать что это за мусор?"
Отправлено shavkat , 08-Май-13 16:19

>> у кого нить есть идеи как избежать данную ситуацию ?
>> спасибо!
> Первое, что приходит на ум, это какая-то гадость пытается DDoS'ить изнутри. Послушайте
> снифером, что откуда берется.
Это же ни какая нибудь маленькая сеть предприятия чтоб снифить, это провайдер, и весь сегмент сети очень сложно будет снифить, и потом, даже если найду, найду одного или пару клиентов, сегодня их найду завтра за другими буду наблюдать ?

"хотелось бы знать что это за мусор?"
Отправлено BJ , 09-Май-13 20:00

RPF повесте на Vl666, и этот трафик будет убиваться