forum.opennet.ru - "Флуд в сети, help" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Флуд в сети, help"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Флуд в сети, help"
Сообщение от Wing (??) on 07-Фев-07, 20:52
Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, что тупо, но сеть строили до меня;( ) Последние дня три по вечерам творится какая-то херь: пинги по сегменту с потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят в том же (!!) нулевом сегменте (сам знаю, что кретинизм!), и когда лагает этот сегмент, лагает вся сеть... В добавок ко всему сеть построена на мыльницах - максимум пара умных железок где-то стоит ;( Собсно вопрос - как ловить флудера? Пока вижу два варианта: 1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей и смотреть... 2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и парсить глазами/скриптом Может быть, есть варианты лучше?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Флуд в сети, help, Slimm, 00:23 , 08-Фев-07, (1)

Флуд в сети, help, Wing, 18:46 , 08-Фев-07, (4)

Флуд в сети, help, coyote, 17:55 , 08-Фев-07, (2)

Флуд в сети, help, Wing, 18:43 , 08-Фев-07, (3)

Флуд в сети, help, PavelR, 19:07 , 08-Фев-07, (5)

Флуд в сети, help, Wing, 20:14 , 08-Фев-07, (7)

Флуд в сети, help, coyote, 19:07 , 08-Фев-07, (6)

Флуд в сети, help, Wing, 20:26 , 08-Фев-07, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Флуд в сети, help"

Сообщение от Slimm (??) on 08-Фев-07, 00:23

снифером поглядеть не пробовал?
проблема кстати может быть не только в абоненте но и в "мыльницах", они могут сами генерить мусор тут уж по точкам идти надо
на умных железках можно ошибки на портах посмотреть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Флуд в сети, help"

Сообщение от Wing (??) on 08-Фев-07, 18:46

>снифером поглядеть не пробовал?
>проблема кстати может быть не только в абоненте но и в "мыльницах",
>они могут сами генерить мусор тут уж по точкам идти надо
>
>на умных железках можно ошибки на портах посмотреть

дампом поглядел, посортировал - всё в пределах нормы... Придется запрягать монтажников бегать по свитчам (

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Флуд в сети, help"

Сообщение от coyote (ok) on 08-Фев-07, 17:55

>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>что тупо, но сеть строили до меня;( )
да хоть 20, не в том проблема :-)
>Последние дня три по вечерам творится какая-то херь: пинги по сегменту с
>потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят
>в том же (!!) нулевом сегменте (сам знаю, что кретинизм!),
Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений.
> и когда лагает этот сегмент, лагает вся сеть...
>В добавок ко всему сеть построена на мыльницах - максимум пара умных
>железок где-то стоит ;(
А вот это бич домосеток...
>
>Собсно вопрос - как ловить флудера? Пока вижу два варианта:
>1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей
>и смотреть...
>2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и
>парсить глазами/скриптом
1 - не вариант вообще. 2 - уже лучше.
>Может быть, есть варианты лучше?
Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и вперёд по свитчам.
Исправление:
1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50 компов - ну нет смысла роутить 50 компов.)
2) Меняй железо.
ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при слове "сегмент", а при слове "uplink".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Флуд в сети, help"

Сообщение от Wing (??) on 08-Фев-07, 18:43

хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка 1000-1200 юзеров... Все на мыльницах.
Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть свич шизанулся и массово бьет пакеты, не так просто его выловить...
А в сетке этойт постоянного админа толком вообще не было, меня взяли месяц назад, и вот уже месяц я тихо охереваю)
>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>что тупо, но сеть строили до меня;( )
>
>да хоть 20, не в том проблема :-)
>
>>Последние дня три по вечерам творится какая-то херь: пинги по сегменту с
>>потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят
>>в том же (!!) нулевом сегменте (сам знаю, что кретинизм!),
>
> Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений.
>
>> и когда лагает этот сегмент, лагает вся сеть...
>>В добавок ко всему сеть построена на мыльницах - максимум пара умных
>>железок где-то стоит ;(
>
>А вот это бич домосеток...
>
>>
>>Собсно вопрос - как ловить флудера? Пока вижу два варианта:
>>1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей
>>и смотреть...
>>2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и
>>парсить глазами/скриптом
>
>1 - не вариант вообще. 2 - уже лучше.
>
>>Может быть, есть варианты лучше?
>
>Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе
>со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и
>вперёд по свитчам.
>
>Исправление:
>1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50
>компов - ну нет смысла роутить 50 компов.)
>2) Меняй железо.
>
>ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при
>слове "сегмент", а при слове "uplink".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Флуд в сети, help"

Сообщение от PavelR (??) on 08-Фев-07, 19:07

>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>1000-1200 юзеров... Все на мыльницах.
>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>свич шизанулся и массово бьет пакеты, не так просто его выловить...
>
>
>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>месяц назад, и вот уже месяц я тихо охереваю)
>
>>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>>что тупо, но сеть строили до меня;( )
>>
>>да хоть 20, не в том проблема :-)
>>

ммм... уточните, точно ли 192.168.0.0/24 ??
Судя по всему минимум 192.168.0.0/21 ????????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Флуд в сети, help"

Сообщение от Wing (??) on 08-Фев-07, 20:14

>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>>1000-1200 юзеров... Все на мыльницах.
>>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>>свич шизанулся и массово бьет пакеты, не так просто его выловить...
>>
>>
>>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>>месяц назад, и вот уже месяц я тихо охереваю)
>>
>>>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>>>что тупо, но сеть строили до меня;( )
>>>
>>>да хоть 20, не в том проблема :-)
>>>
>
>
>ммм... уточните, точно ли 192.168.0.0/24 ??
>Судя по всему минимум 192.168.0.0/21 ????????
Не... Всего у нас несколько подсетей /24, флуд ТОЛЬКО в этой конкретной 192.168.0.0/24.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Флуд в сети, help"

Сообщение от coyote (ok) on 08-Фев-07, 19:07

>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>1000-1200 юзеров... Все на мыльницах.
80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^! обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи, надо думать как их тоже защищать. вирусы = засранная arp таблица, проблемы с маршрутизацией и т.д.

>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>свич шизанулся и массово бьет пакеты,
Лехко! неоднократно видел.
> не так просто его выловить...
>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>месяц назад, и вот уже месяц я тихо охереваю)
Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и сидя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Флуд в сети, help"

Сообщение от Wing (??) on 08-Фев-07, 20:26

>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>>1000-1200 юзеров... Все на мыльницах.
>
>80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^!
>обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи,
>надо думать как их тоже защищать. вирусы = засранная arp таблица,
>проблемы с маршрутизацией и т.д.
На подсети порезано, но тупо. Когда я предлагал по подсети на один дом - махнули рукой =(
>
>>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>>свич шизанулся и массово бьет пакеты,
>Лехко! неоднократно видел.
По разному может быть... Вчера в период флуда поставил дамп > log на арпы, icmp, вирусные порты, скриптом посчитал кто больше всего флудит - никаких аномалий...
>> не так просто его выловить...
>
>>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>>месяц назад, и вот уже месяц я тихо охереваю)
>
>Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и
>сидя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Флуд в сети, help"
Сообщение от Slimm (??) on 08-Фев-07, 00:23
снифером поглядеть не пробовал? проблема кстати может быть не только в абоненте но и в "мыльницах", они могут сами генерить мусор тут уж по точкам идти надо на умных железках можно ошибки на портах посмотреть
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Флуд в сети, help"
	Сообщение от Wing (??) on 08-Фев-07, 18:46
	>снифером поглядеть не пробовал? >проблема кстати может быть не только в абоненте но и в "мыльницах", >они могут сами генерить мусор тут уж по точкам идти надо > >на умных железках можно ошибки на портах посмотреть дампом поглядел, посортировал - всё в пределах нормы... Придется запрягать монтажников бегать по свитчам (
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Флуд в сети, help"
Сообщение от coyote (ok) on 08-Фев-07, 17:55
>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, >что тупо, но сеть строили до меня;( ) да хоть 20, не в том проблема :-) >Последние дня три по вечерам творится какая-то херь: пинги по сегменту с >потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят >в том же (!!) нулевом сегменте (сам знаю, что кретинизм!), Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений. > и когда лагает этот сегмент, лагает вся сеть... >В добавок ко всему сеть построена на мыльницах - максимум пара умных >железок где-то стоит ;( А вот это бич домосеток... > >Собсно вопрос - как ловить флудера? Пока вижу два варианта: >1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей >и смотреть... >2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и >парсить глазами/скриптом 1 - не вариант вообще. 2 - уже лучше. >Может быть, есть варианты лучше? Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и вперёд по свитчам. Исправление: 1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50 компов - ну нет смысла роутить 50 компов.) 2) Меняй железо. ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при слове "сегмент", а при слове "uplink".
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Флуд в сети, help"
	Сообщение от Wing (??) on 08-Фев-07, 18:43
	хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка 1000-1200 юзеров... Все на мыльницах. Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть свич шизанулся и массово бьет пакеты, не так просто его выловить... А в сетке этойт постоянного админа толком вообще не было, меня взяли месяц назад, и вот уже месяц я тихо охереваю) >>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, >>что тупо, но сеть строили до меня;( ) > >да хоть 20, не в том проблема :-) > >>Последние дня три по вечерам творится какая-то херь: пинги по сегменту с >>потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят >>в том же (!!) нулевом сегменте (сам знаю, что кретинизм!), > > Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений. > >> и когда лагает этот сегмент, лагает вся сеть... >>В добавок ко всему сеть построена на мыльницах - максимум пара умных >>железок где-то стоит ;( > >А вот это бич домосеток... > >> >>Собсно вопрос - как ловить флудера? Пока вижу два варианта: >>1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей >>и смотреть... >>2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и >>парсить глазами/скриптом > >1 - не вариант вообще. 2 - уже лучше. > >>Может быть, есть варианты лучше? > >Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе >со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и >вперёд по свитчам. > >Исправление: >1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50 >компов - ну нет смысла роутить 50 компов.) >2) Меняй железо. > >ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при >слове "сегмент", а при слове "uplink".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Флуд в сети, help"
	Сообщение от PavelR (??) on 08-Фев-07, 19:07
	>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка >1000-1200 юзеров... Все на мыльницах. >Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть >свич шизанулся и массово бьет пакеты, не так просто его выловить... > > >А в сетке этойт постоянного админа толком вообще не было, меня взяли >месяц назад, и вот уже месяц я тихо охереваю) > >>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, >>>что тупо, но сеть строили до меня;( ) >> >>да хоть 20, не в том проблема :-) >> ммм... уточните, точно ли 192.168.0.0/24 ?? Судя по всему минимум 192.168.0.0/21 ????????
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Флуд в сети, help"
	Сообщение от Wing (??) on 08-Фев-07, 20:14
	>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка >>1000-1200 юзеров... Все на мыльницах. >>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть >>свич шизанулся и массово бьет пакеты, не так просто его выловить... >> >> >>А в сетке этойт постоянного админа толком вообще не было, меня взяли >>месяц назад, и вот уже месяц я тихо охереваю) >> >>>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, >>>>что тупо, но сеть строили до меня;( ) >>> >>>да хоть 20, не в том проблема :-) >>> > > >ммм... уточните, точно ли 192.168.0.0/24 ?? >Судя по всему минимум 192.168.0.0/21 ???????? Не... Всего у нас несколько подсетей /24, флуд ТОЛЬКО в этой конкретной 192.168.0.0/24.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Флуд в сети, help"
	Сообщение от coyote (ok) on 08-Фев-07, 19:07
	>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка >1000-1200 юзеров... Все на мыльницах. 80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^! обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи, надо думать как их тоже защищать. вирусы = засранная arp таблица, проблемы с маршрутизацией и т.д. >Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть >свич шизанулся и массово бьет пакеты, Лехко! неоднократно видел. > не так просто его выловить... >А в сетке этойт постоянного админа толком вообще не было, меня взяли >месяц назад, и вот уже месяц я тихо охереваю) Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и сидя.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Флуд в сети, help"
	Сообщение от Wing (??) on 08-Фев-07, 20:26
	>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка >>1000-1200 юзеров... Все на мыльницах. > >80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^! >обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи, >надо думать как их тоже защищать. вирусы = засранная arp таблица, >проблемы с маршрутизацией и т.д. На подсети порезано, но тупо. Когда я предлагал по подсети на один дом - махнули рукой =( > >>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть >>свич шизанулся и массово бьет пакеты, >Лехко! неоднократно видел. По разному может быть... Вчера в период флуда поставил дамп > log на арпы, icmp, вирусные порты, скриптом посчитал кто больше всего флудит - никаких аномалий... >> не так просто его выловить... > >>А в сетке этойт постоянного админа толком вообще не было, меня взяли >>месяц назад, и вот уже месяц я тихо охереваю) > >Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и >сидя.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]