The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Флуд в сети, help"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Флуд в сети, help"  
Сообщение от Wing email(??) on 07-Фев-07, 20:52 
Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю, что тупо, но сеть строили до меня;( )
Последние дня три по вечерам творится какая-то херь: пинги по сегменту с потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят в том же (!!) нулевом сегменте (сам знаю, что кретинизм!), и когда лагает этот сегмент, лагает вся сеть...
В добавок ко всему сеть построена на мыльницах - максимум пара умных железок где-то стоит ;(

Собсно вопрос - как ловить флудера? Пока вижу два варианта:
1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей и смотреть...
2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и парсить глазами/скриптом

Может быть, есть варианты лучше?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Флуд в сети, help"  
Сообщение от Slimm (??) on 08-Фев-07, 00:23 
снифером поглядеть не пробовал?
проблема кстати может быть не только в абоненте но и в "мыльницах", они могут сами генерить мусор тут уж по точкам идти надо
на умных железках можно ошибки на портах посмотреть


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Флуд в сети, help"  
Сообщение от Wing email(??) on 08-Фев-07, 18:46 
>снифером поглядеть не пробовал?
>проблема кстати может быть не только в абоненте но и в "мыльницах",
>они могут сами генерить мусор тут уж по точкам идти надо
>
>на умных железках можно ошибки на портах посмотреть


дампом поглядел, посортировал - всё в пределах нормы... Придется запрягать монтажников бегать по свитчам (

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Флуд в сети, help"  
Сообщение от coyote (ok) on 08-Фев-07, 17:55 
>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>что тупо, но сеть строили до меня;( )

да хоть 20, не в том проблема :-)

>Последние дня три по вечерам творится какая-то херь: пинги по сегменту с
>потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят
>в том же (!!) нулевом сегменте (сам знаю, что кретинизм!),

Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений.

> и когда лагает этот сегмент, лагает вся сеть...
>В добавок ко всему сеть построена на мыльницах - максимум пара умных
>железок где-то стоит ;(

А вот это бич домосеток...

>
>Собсно вопрос - как ловить флудера? Пока вижу два варианта:
>1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей
>и смотреть...
>2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и
>парсить глазами/скриптом

1 - не вариант вообще. 2 - уже лучше.

>Может быть, есть варианты лучше?

Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и вперёд по свитчам.

Исправление:
1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50 компов - ну нет смысла роутить 50 компов.)
2) Меняй железо.

ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при слове "сегмент", а при слове "uplink".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Флуд в сети, help"  
Сообщение от Wing email(??) on 08-Фев-07, 18:43 
хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка 1000-1200 юзеров... Все на мыльницах.
Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть свич шизанулся и массово бьет пакеты, не так просто его выловить...

А в сетке этойт постоянного админа толком вообще не было, меня взяли месяц назад, и вот уже месяц я тихо охереваю)

>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>что тупо, но сеть строили до меня;( )
>
>да хоть 20, не в том проблема :-)
>
>>Последние дня три по вечерам творится какая-то херь: пинги по сегменту с
>>потерями, время от времени вообще пропадают. Что самое херовое, серваки стоят
>>в том же (!!) нулевом сегменте (сам знаю, что кретинизм!),
>
> Ничего подобного. Вполне рабочая схема. При соблюдении других ограничений.
>
>> и когда лагает этот сегмент, лагает вся сеть...
>>В добавок ко всему сеть построена на мыльницах - максимум пара умных
>>железок где-то стоит ;(
>
>А вот это бич домосеток...
>
>>
>>Собсно вопрос - как ловить флудера? Пока вижу два варианта:
>>1) в период лагов идти на каждый дом, вытаскивать аплинки из свитчей
>>и смотреть...
>>2) ставить дамп на arp, icmp вируснячьи порты, писать в логи и
>>парсить глазами/скриптом
>
>1 - не вариант вообще. 2 - уже лучше.
>
>>Может быть, есть варианты лучше?
>
>Диагностика: За пузырь неплохого коньяка возьми в серьёзной организации лан-тестер (возможно вместе
>со спецом). Как вариант - ноут с линухом/фрёй и tcpdump/trafshow. и
>вперёд по свитчам.
>
>Исправление:
>1) Режь на сегменты. (ИМХО это протез. Ну пусть у вас 50
>компов - ну нет смысла роутить 50 компов.)
>2) Меняй железо.
>
>ИМХО - железо. Просто вы переросли эти железки. Колбасить должно не при
>слове "сегмент", а при слове "uplink".


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Флуд в сети, help"  
Сообщение от PavelR email(??) on 08-Фев-07, 19:07 
>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>1000-1200 юзеров... Все на мыльницах.
>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>свич шизанулся и массово бьет пакеты, не так просто его выловить...
>
>
>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>месяц назад, и вот уже месяц я тихо охереваю)
>
>>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>>что тупо, но сеть строили до меня;( )
>>
>>да хоть 20, не в том проблема :-)
>>


ммм... уточните, точно ли 192.168.0.0/24 ??
Судя по всему минимум 192.168.0.0/21 ????????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Флуд в сети, help"  
Сообщение от Wing email(??) on 08-Фев-07, 20:14 
>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>>1000-1200 юзеров... Все на мыльницах.
>>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>>свич шизанулся и массово бьет пакеты, не так просто его выловить...
>>
>>
>>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>>месяц назад, и вот уже месяц я тихо охереваю)
>>
>>>>Есть большой сегмент сети 192.168.0.0/24, включает в себя штук 15 домов. (знаю,
>>>>что тупо, но сеть строили до меня;( )
>>>
>>>да хоть 20, не в том проблема :-)
>>>
>
>
>ммм... уточните, точно ли 192.168.0.0/24 ??
>Судя по всему минимум 192.168.0.0/21 ????????

Не... Всего у нас несколько подсетей /24, флуд ТОЛЬКО в этой конкретной 192.168.0.0/24.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Флуд в сети, help"  
Сообщение от coyote (ok) on 08-Фев-07, 19:07 
>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>1000-1200 юзеров... Все на мыльницах.

80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^! обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи, надо думать как их тоже защищать. вирусы = засранная arp таблица, проблемы с маршрутизацией и т.д.

>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>свич шизанулся и массово бьет пакеты,

Лехко! неоднократно видел.

> не так просто его выловить...

>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>месяц назад, и вот уже месяц я тихо охереваю)

Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и сидя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Флуд в сети, help"  
Сообщение от Wing email(??) on 08-Фев-07, 20:26 
>>хех... Эти железяки мы переросли хер знает когда =( Сейчас подключено порядка
>>1000-1200 юзеров... Все на мыльницах.
>
>80 юзеров на дом? конечно лучше резать на подсети! мыльницы? да %&*%^!
>обязано стоять нормальное железо! L3 свитчи. НО! хоть и умные свитчи,
>надо думать как их тоже защищать. вирусы = засранная arp таблица,
>проблемы с маршрутизацией и т.д.
На подсети порезано, но тупо. Когда я предлагал по подсети на один дом - махнули рукой =(

>
>>Дамп не особо помогает - если это флуд не бродкастами, а какой-нибуть
>>свич шизанулся и массово бьет пакеты,

>Лехко! неоднократно видел.
По разному может быть... Вчера в период флуда поставил дамп > log на арпы, icmp, вирусные порты, скриптом посчитал кто больше всего флудит - никаких аномалий...

>> не так просто его выловить...
>
>>А в сетке этойт постоянного админа толком вообще не было, меня взяли
>>месяц назад, и вот уже месяц я тихо охереваю)
>
>Переделка, переделка, переделка. Иначе ты оттуда убежишь... Админ должен работать легко и
>сидя.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру