удпшный Шторм на двух интерфейсах.



  • схема сети  клиенты=>vlan12=>igb0=>pf=>igb1=>vlan12=>вышестоящий роутер
    схема работает на время перелопачивания основного канала.
    ситуация.
    на igb1 идёт исходящий трафф 500 мегабит
    а на igb0 идёт входящий трафф 300 мегабит
    по pftop показывает
    169.254.124.113

    pfTop: Up State 1-100/5300, View: default, Order: bytes
    PR    D SRC                  DEST                STATE  AGE  EXP  PKTS BYTES
    udp  I 169.254.124.113:137  169.254.255.255:137  0:1  39562    30  12G 1140G
    udp  O 169.254.124.113:137  169.254.255.255:137  1:0  39562    30  12G 1140G

    айпишники виндовые дефолтные без dhcp

    залочил на интерфейсах udp\tcp 137 на какое то время помогло.

    тогда создал float правило для igb1 блокировать исходящий tcp\udp 137 порта.
    убил состояние
    траффик пропал, жду надолго ли.

    у кого какие мыли на этот счёт?



  • с чего вы взяли что это шторм?
    это обычный smb траффик. Кто то качает файлы по сетке. Так же видел как по нему работают вирусы.
    Я бы рекомендовал на длинках:
    config filter netbios state enable
    или просто закрыть на коммутаторе 137-139 порты



  • а нет у меня самбистов, которые брудкастовые пакеты гоняют.
    да еще и с адреса винды которая по дхцп ничего не получила.
    тоесть вообще не из моих подсетей



  • сегодня проявился еще и 138 порт =)
    что то где то я накосячил



  • @derwin:

    с чего вы взяли что это шторм?
    это обычный smb траффик. Кто то качает файлы по сетке. Так же видел как по нему работают вирусы.
    Я бы рекомендовал на длинках:
    config filter netbios state enable
    или просто закрыть на коммутаторе 137-139 порты

    это был шторм.
    2 интерфейса смотрели в один vlan.
    они друг друга зафигачивали пакетами =)
    закрыть брудкаст не вариант, dhcp и ARP гулять не будут, а это значит. что всё ляжет



  • 2 интерфейса смотрели в один vlan.

    так что не так?
    для связности нужно минимум два интерфейса.

    :o



  • да как бы всё нормально, но до запрета UDP эти два интерфейса  смотрящие в 1 vlan но в разные подсети друг друга брудкастили аж по 500-1000 тысяч пакетов в секунду.
    с чем это связано я так и не понял.
    мой то коммутатор это переваривал, а вот когда это влетало в коммут провайдера, они звонили мне и просили поправить, потому, что через аплинк в гигабит улетало очень много пакости в том числе и к нашим клиентам =)
    если у кого есть желание попробуйте так 2 интерфейса в один свич впихать и разные подсетки настроить. но дхцп поднимать только в одной =)



  • @WY6EPT:

    если у кого есть желание попробуйте так 2 интерфейса в один свич впихать и разные подсетки настроить. но дхцп поднимать только в одной =)

    ни чего не будет. что тут пробовать.

    проблема однако железная. такой флуд или петля или битый порт или витая пара коротнувшая.

    попробуйте Tx Rx закольцевать. некоторым коммутаторам крышу сносит.

    поумнее коммутаторы отключают порт.

    я так выгорешие от грозы порты гасил, чтоб не вешали коммутатор.

    И да!! летит такой флуд в сеть провайдера за милу душу. пока пров умнее не станет.

    наматывайте на ус пакостники как  домосетям вредить.


Log in to reply