Ситуация следующая:
Имяется локальная сеть ~ 6000 компьютеров
В центре роутер от него отходят свичи, к которым подключены клиенты.Иногда возникает следующая ситуация.
Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже до полной недоступности роутера).
На свичах эта нагрузка ни как не проявляется, поскольку они работает на 2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP пакетов.Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов сети или компьютеров и т.д.).
Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
Выявлять нужно по netflow
P.S.
У CISCO есть даже спецальные устройства - всякие
TRAFFIC ANOMALY DETECTOR и TRAFFIC ANOMALY GUARD
http://www.cisco.com/en/US/products/ps5887/index.htmlСтоят безумные деньги.
ex. Riverhead Networks кажецца
>Выявлять нужно по netflow
В netflow показываются прошедшие успешно сеансы обмена пакетами.
А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается их смаршрутизировать и не может, но ресурсы при этом тратит. В Netflow эти пакеты не отражаются.
>>Выявлять нужно по netflow
>В netflow показываются прошедшие успешно сеансы обмена пакетами.
>А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается
>их смаршрутизировать и не может, но ресурсы при этом тратит. В
>Netflow эти пакеты не отражаются.Вау! Свой proprietary нетфлов чтоли написали ;)
Написали какой то бред... Скорее всего даже не проверяли.
Будут они будут - только в DstIf будет cтоять Null.
Проверьте по show ip cache flow!
>>>Выявлять нужно по netflow
>>В netflow показываются прошедшие успешно сеансы обмена пакетами.
>>А в нашем случае посалаются пакеты на взятые наобум адреса. Роутер пытается
>>их смаршрутизировать и не может, но ресурсы при этом тратит. В
>>Netflow эти пакеты не отражаются.
>
>Вау! Свой proprietary нетфлов чтоли написали ;)
>Написали какой то бред... Скорее всего даже не проверяли.
>Будут они будут - только в DstIf будет cтоять Null.
>Проверьте по show ip cache flow!
Да действительно Вы правы.
Возможно так и придется сделать. Включить поддержку Netflow, перенаправлять ее на NetFlow сервер, анализировать лог NetFlow сервера, выдавать тревожные сигналы в случае начала сетевой атаки и затем блокировать зараженную машину.
Только есть сомнения не будет ли NetFlow траффик серьезно грузить сеть и сам роутер.
>Ситуация следующая:
>Имяется локальная сеть ~ 6000 компьютеров
>В центре роутер от него отходят свичи, к которым подключены клиенты.
>
>Иногда возникает следующая ситуация.
>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>до полной недоступности роутера).
>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>
>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>пакетов.
>
>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>сети или компьютеров и т.д.).
>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем.
Второй вариант, который пока я не проверял, но двано просится в голову - если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL и т.д. - попробовать unicast storm control, который срезал бы пакеты выше определенного количества в секунду. Только надо хорошо подбирать значения потока, выше которого будет срезание. Детекировать такую машину будете по
жалбое юзера, что у него сеть не пашет.
>>Ситуация следующая:
>>Имяется локальная сеть ~ 6000 компьютеров
>>В центре роутер от него отходят свичи, к которым подключены клиенты.
>>
>>Иногда возникает следующая ситуация.
>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>>до полной недоступности роутера).
>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>>
>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>>пакетов.
>>
>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>>сети или компьютеров и т.д.).
>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
>
>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную
>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем.У нас роутер HP 9308m (178 million pps ).
Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна тем, что на уровне L2 ни какой нагрузки не видно, а на L3 все виснет.
У нас была ситуация что 1 машина таким вот образом завесила роутер.
Так что это не выход купить более мощный роутер. А если зараженных компов будет 10,100 то любой роутер не справится.>Второй вариант, который пока я не проверял, но двано просится в голову
>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL
>и т.д. - попробовать unicast storm control, который срезал бы пакеты
>выше определенного количества в секунду. Только надо хорошо подбирать значения потока,
>выше которого будет срезание. Детекировать такую машину будете по
>жалбое юзера, что у него сеть не пашет.
На втором уровне нагрузка не видна.
>>>Ситуация следующая:
>>>Имяется локальная сеть ~ 6000 компьютеров
>>>В центре роутер от него отходят свичи, к которым подключены клиенты.
>>>
>>>Иногда возникает следующая ситуация.
>>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>>>до полной недоступности роутера).
>>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>>>
>>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>>>пакетов.
>>>
>>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>>>сети или компьютеров и т.д.).
>>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
>>
>>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную
>>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем.
>
>У нас роутер HP 9308m (178 million pps ).
>Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна
>тем, что на уровне L2 ни какой нагрузки не видно, а
>на L3 все виснет.
>У нас была ситуация что 1 машина таким вот образом завесила роутер.
>
>Так что это не выход купить более мощный роутер. А если зараженных
>компов будет 10,100 то любой роутер не справится.
>
>>Второй вариант, который пока я не проверял, но двано просится в голову
>>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL
>>и т.д. - попробовать unicast storm control, который срезал бы пакеты
>>выше определенного количества в секунду. Только надо хорошо подбирать значения потока,
>>выше которого будет срезание. Детекировать такую машину будете по
>>жалбое юзера, что у него сеть не пашет.
>На втором уровне нагрузка не видна.Соглашусь с mc несколькими постами ниже - у вас что-то не в порядке с самим роуетером. 178 million pps в сек. комп на 100 мегабитах сгенерировать просто не в состоянии.
>Ситуация следующая:
>Имяется локальная сеть ~ 6000 компьютеров
>В центре роутер от него отходят свичи, к которым подключены клиенты.
>
>Иногда возникает следующая ситуация.
>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>до полной недоступности роутера).
>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>
>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>пакетов.
>
>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>сети или компьютеров и т.д.).
>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.Учитывая, что 99,(9)% вирусов используют одни и те же порты для своих рассылок, может, стоит попробовать создать ACL на эти порты и rate-shape'ить по нему интерфейсы рутера? Да и вообще, есть ли резон пропускать через рутер MS NetBIOS, чьи порты в массе вирусы и используют? Может, стоит обойтись без него?
Используем hp9304 тоже самое что и 08 только слотов меньше
в сети порядка 12000 клиентов, рабочая нагрузка по
sh cpu 1% роутит порядка 200 сеток /24
либо вы используете програмный АСЛ либо не правильно
определены размеры САМ таблиц.Такой агрегат положить очень тяжело разбирайтесь :)