Вот уже несколько недель боремся с трафиковым штормом, ложит нам все оборудование без остановки. Проявляет себя всегда по разному, на той неделе вывел тарелки в центре города, а до этого ронял управляемые свечи.
Определили что шторм образуется в результате посылки пакетов роутером delink на cisсo которой в природе не существует.

Продолжай наблюдение, очень интересно

я когда ноут свой на работу случайно занес, вайфай глянул - даже шланг сетевой в локалку стремным посчитал втыкать, больше половины не защищенных - заходи бери

Вопрос как найти из какой точки летят эти пакеты?

delink - это пять

> Определили что шторм образуется в результате посылки пакетов роутером delink на cisсo которой в природе не существует.

как ты определил что на циско валится, если ее в природе не существует?

может не ипать моск, а поставить ?

абсолютное количество штормов нах никому не нужно

наберут по объявлениям а потом штормит их

(6)циску которой нет?

(9) не вкурил

кто, чего, зачем - может вам просто кажется ?

Анализатор трафика показал что роутер посылает пакет на разрыв соеденения на циско. Где он стоит определить не удалось, а циски такой в природе не существует, так как по маку ее нигде у нас нет.

ипанутся

(12) Это 10.

кто с таким сталкивался?

(12)
> Анализатор трафика показал что роутер посылает пакет на разрыв соеденения на циско.

он так и написал "роутер посылает пакет на разрыв соеденения на циско". Что за анализатор, который видит несуществующую циско? А модель он написал?

(15) все кто сталкивались с таким, лечатся в дурке

есть такая прога, она показывает что происходить в сети - Wireshark

(18) поздравы с вирем

(18) это волшебная программа - она видит несуществующую циску.
Адрес несуществующей циски программа сказала?

Адрес и мак программа сказала, но вот найти ее невозможно. Получается это вирус?

дорого

Пиши подробно все. Длинк в твоей сети? Шлет на циску в твою сеть или наружу? Если длинк выключить шторм прекращается?

> Получается это вирус?

или длинк полудохлый штормит, бывает такое

Мы не можем определить местоположение дэлинка, так как у нас много точек по городу около 400, есть подозрение что это у кого то из клиентов глюкнутый роутер, ищущий циско.

Вся штука в том что мы отключали клиентов по очереди, но все без успешно. Посылка продолжается что бы не происходило. Единственный выход это отключение всех одним скопом.

> Мы не можем определить местоположение дэлинка

а волшебный сканер тебе адрес длинка не показывает?
отключать клиентов секторами пробовал?

отключали клиентов секторам, получается что при отключении секторов по отдельности ничего не дается, только если пачкой. Сканер показывает только собственный адрес роутера, его внешний он определяет как находящийся в нескольких местах.

есть стим

(29)что такое стим?

Решение проблемы в приглашении вменяемого администратора, который обладает iq>70 и умеет формулировать вопросы.

Администраторы есть, решение пока что разбить всю сеть на части и опредлить в какой именно части находиться враг.

(32) я тебе это и предлагал, а ты писал что не работает такая схема.

Есть программы способные определить или отловить этот дэлинк.

(31) айку измеряется тестом в один вопрос - смотрите ли Вы дом-2 ? - если нет - Ваш айку (без стеба) не стоит ничего.

(34)
arp -a

(35) Олег Валентинович, я много лет смотрю дом-2.

(34) если ты утверждаешь что они есть, возьми и отлови

за три домена бъюсь две недели - никак не ммогу их разделить (

(38) это вопрос был, а не утверждение, мы сейчас сеть переразбиваем на подсетки.

> Администраторы есть

а ты какую роль выполняешь в этой конторе?

а может потопать - и тупо повыдергивать контакты ?

Сетевой администратор. Потопать не получится, слишком много топать придется.

LOL

Наверное ты родился сразу со знанием всех IT технологий и ничему не учился?

(45)
> isq 599917056 Тел +79178777741

ты даже icq правильно писать не умеешь

с такими знаниями этот длинк вы будете искать месяц.
Делите сетку на сектора и ищите, если ума нет посмотреть ip откуда штормят, другого способа нет.

Бывают в жизни огорчения=) Знаешь меня правильность написания данного не так уж и волнует, но раз ты нашел ошибку я не поленюсь и исправлю.

ip от куда идет шторм постоянно меняется.

ищи платную консультацию, лимит бесплатного консультирования исчерпан

Думаю сами справимся.

Весело тут у вас, девочки..

Меня сегодня штормило, с утра...

а у нас море спокойное

мда прикольно

свЕчи предлагаю почистить и выставить зазор

1. может штормить не из одной точки.
2. так себя ведет вирус для Radmin.

попробуй, начни с сервака с радмином

SC STOP IPZ
SC DELETE IPZ
ping 127.0.0.1 -n 4 > nul
DEL %systemroot%\SYSTEM32\IPZ.EXE /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ.tmp /S /Q /F
DEL %systemroot%\SYSTEM32\IPZ-db.bin /S /Q /F
MKDIR %systemroot%\SYSTEM32\IPZ.EXE
MKDIR %systemroot%\SYSTEM32\IPZ.tmp
MKDIR %systemroot%\SYSTEM32\IPz-db.bin
pause
cd %temp%
del *.* /F /S /Q

SC STOP IPZ
SC DELETE IPZ
DEL %systemroot%\SYSTEM32\IPZ.EXE
mkdir %systemroot%\SYSTEM32\IPZ.EXE
SC STOP IPZ2
SC DELETE IPZ2
DEL %systemroot%\SYSTEM32\IPZ2.EXE
mkdir %systemroot%\SYSTEM32\IPZ2.EXE

да я тоже подумывал уже проверить сервак на косяки. Этим займемся завтра когда на работе будем.

dns?> dhcp? кольца

Завтра все проверим досконально, надоело что каждый день сюрпризом оказывается.

>>свечи delink
это какая то новинка на антигеморроидальном рынке?

(62) Видимо. Мировая фарминдустрия не стоит на месте. Еще и управляемые...
(26) Ну тогда выключи их всем скопом, а потом включай по одному.

Ещё одни изобретатели "Russian PPTP", провайдеры недоделки, боженька убей их всех

Про D-Linkи со штормом разжевано было уже 1000 раз

и про ложные DHCP серверы и их подавление ищите уже сразу

Начнём с того, что если у вас сеть Ethernet, то у каждого устройства есть MAC-адрес, который проставляется во все пакеты в адрес отправителя.
Также есть и IP-адрес отправителя пакета, который при прохождении через роутеры не всегда меняется, а MAC подставляется от роутера.
То есть, если кто-то видит пакеты, то он видит точно, кто их отправил - если данные в пакетах искажены, то это означает, что их сформировал какой-то компьютер, то есть вероятнее всего вирус, а так как вирус обычно не один, то отключать сегменты сетей бессмысленно - лечить надо всех и сразу.

Предлагаю лечить начать сначала вот таких провайдеров, с их неуправляемыми свичами

Если у них бытовой ноум д-линк роняет магистральный свитч

Наврятли это вирус конечно, пустив часть трафика по другому каналу от этого сервака шторма не было. Значит где то у клиента эта пакость.

Лечить всех и сразу, весь мир болен интернетом=)

на форуме д-линка была тема прор широковещательный штормЮ давно, лечилось прошивкой сбойного делинка новой версией, роутер искался не помню как, но сбоиный периодически объявлял себя "главным" dhcp в этом сегменте. Или, вариант, кто то некорректно VPN до работы настроил, где рабочая сеть ему должна была выдавать его "рабочий - на его работе" ip адр, например - выдавал его - внутрифирменный циско

(0) : (63) - (65)

плюсом - Длинк уг

(73) только получше многих будет

(73) Чудес не бывает, всё соразмерно своим деньгам, у меня работают, DGS-1224T, просто лежит по схеме 2 вработе + 1 запасно, и при малейших подозрениях меняестя коробко, где бесперебойник + свитч

не будет же никто на уд склад с 3 комп и 2 сет принтерами ставить циску за 100тр

не играйте в миллионеров

а тут (0) - другой вариант, многоквартирный дом, абонентка от 500-1000 руб с каждого ежемесячно, а ставят, я не помню уже, Комекс что ли в пластиковом корпусе с внешним блоком питания на дом и где то на крыше с влажностью

их я исчитаю окуевшими = "Потопать не получится, слишком много топать придется" и тупыми = "Вот уже несколько недель боремся"

А еще в Татарстане IT-кластер к 2010 строили, нынешний министр информатики - оттуда...

Хорошо говорить когда сам не сталкиваешься с подобными проблемами.

Проблемы не у вас, а у клиентов как раз с вами

Да с нашей то стороны все как раз в порядке, а вот клиенты не очень то умеют разбираться в железе и по тому часто приходится объяснять куда и как пачкорд вставить.

(77) Много одинаковой ценовой категории но не такое уг.

раз сканером 2 недели пользуетесь. Поди еще и сканер "бесплатный"

(74) Чьих? Если работает 2 часа в сутки, то будет работать максимум гарантийный срок + месяц

Ну а ты бы сам как проблему решал бы?

+(86) 24 часа в сутки

(80) Думали уволится, оказалось повышение (

(83) Ну да, с клиентом вам не повезло. Вы им, значит - интернет - как сами в рекламе написали, а они собаки - УСЛУГУ требують...

(87) Прошивочку сменить? А момед им другой?

Свичи от dlink немного лучше tp-link, требуют замены хотябы раз в пол года.

Этот косянчый роутер еще найти нужно, а так пока сеть переразбиваем.

а расскажите как определили что это роутер делинк ?

Wireshark показал от куда и куда пакет идет

и еще - "400" точек - это чего? 400 общндомовых хабов, роутеров ? Подсеть вы разбиваете... Есть такая вешь - планирование и документирование, до - построение сетей

Шарк прям человеческим голосом сказал "это де линк все подлый, мамой клянусъ" или осмысленная надпись была в логах?

Да ясный перец что в логах подпись была. Он же не будет басни рассказывать про то что там хакеры лазят.

(92) Ну у меня несмотря на горящие лампочки все об-е год отрабатывает. Год это гарантийный срок ) Маршрутизаторы у них еще более менее, но все остальное.. (Сетевухи еще можно взять из-за дешевизны).

MAC например, который выдают пулами для производящзих сетевухи предприятий и он уникален на всем земном шаре, хотя потом можно его сменить?

(100) Мак я менял хз скока раз 0- у нас втварь на маках завязана. Сетевухи горят, а лицензии по макам.

+(101) в винде и лине после загрузки легко меняется. Может у вас тупо трафик кто-то через себя гоняет?

Все может быть, пока не проверим не узнаем. Нужно будет все таки подсети сделать и через них с узить круг.

==
 Mucmuk

42 - 24.07.12 - 23:23
   
Сервак больше как рабочая станция нужен нежели игровая машина.
==

Всё понятно - спасибо за информацию

(104) Да да это мой первый сер который я поднял на centos=)

http://eucariot.livejournal.com/tag/сети%20для%20самых%20маленьких

Весьма и весма советую для начала, прежде чем 400 точек (чего точек?) иметь. И севы на центос гордо поднимать. Можно и с ВинСервера начать, почитать чего он в момент поднятия служб и ролей пишет, то же учение.

(106) Да как раз читал эти статьи, очень понятно и вразумительно написаны. Сейчас как раз читаю про сервера и их виды на линукс системах, потому как поставить готовый серв не то что нужно.

Шарк что написал, конкретная строчка с логом?

Сейчас не могу сказать, на рабочем ноуте осталось. Там был один и тот же пакет отправленный 50 раз подряд. точно был мак и данные что за железка и кому отправляет.

управляемые свичи, уровня L2\L3 умеют определять и блокировать щторм. Могут\ и пишут письма админу об этом. Поэтому их и ставят в сегменты сети. Поэтому они и стоят дороже хаба. Ширпотребовсие L2\3 максимум 48 портов продаются. У вас задача - перебрать от 10 до 48 ип адресов\квартир\точек. На каком говне у вас построена сеть? Может пора поделиться этой секретной информацией? И не ипать мозг на форуме посвещенном программированию\пиву\млядсту и выбору фотоаппаратов....

сеть  построена на оборудовании типа dlink 1210-10, 1228, DGS-1216T

dldlink 1210-10, 1228, DGS-1216Tink  - веб смарт, умеет штормы глушить

Но не помогает ведь((((

шикарная тема

единственный вариант это непосредственно работа над участком в целом.

(115) Мля, я сдаюсь, не помогает им. Веб-смарты - серверы на линуксе, каждий имеет уник ИП-адресс в сети для управления. Только вот их надо настраивать.

Щас окажется - что штор - это млять их же свитч, ненастроенный детьми, который шлет статистику или СМТП или ишет обновление своей прошивки.

И да, 50 пакетов в секунду - это никуя не шторм, не льстите себе.

RTFM

Единственный вариант - понять что дворники тоже нужны, и это достойная профессия

(118) Не стоит думать что все знаешь, ведь система работает не прост так.
У меня по специальности немного другая профа, я Инженер энергетик, а админством занялся по тому что мне это нравится, вот я и учусь. Не бывает так что бы все сразу на блюдечке с золотой коемочкой.

"кАёмочкой", товарищ "инженер-энергетик"

"кАёмочкой" учту на будущее=)

"по тому" пишется слитно - "потому", "что бы" - тоже.

(0)
читаем
wiki:Широковещательный_шторм

+(123)
и еще здесь
wiki:STP

(113)
кстати на dldlink 1210-10, 1228, DGS-1216Tink
Управление широковещательным штормом  - нет

+(125)
http://dlink.ru/ru/faq/63/785.html

(125) х.з, на моем DGS-1224T - есть, примитивное:

Broadcast Storm Control    Enabled    
Threshold  (bytes per second)   8

Безопасность
- Управление доступом 802.1x на основе портов
- Управление широковещательным штормом с шагом 8 Кб, 16 Кб, 32K, 64 Кб, 128 Кб, 512 Кб, 1024 Кб, 2048 Кб, 4096 Кб в секунду
- D-Link Safeguard Engine для защиты CPU от широковещательной/многоадресной/одноадресной рассылки
- Доверенный хост (Trusted Host)
- Функция диагностики кабеля

Серия коммутаторов D-Link DGS-1210

Сетевая безопасность
Функция D-Link Safeguard Engine защищает коммутаторы от вредоносного трафика, вызванного активностью вирусов. Аутентификация на основе порта 802.1X позволяет использовать внешний сервер RADIUS для авторизации пользователей. Помимо этого, функция cписки управления доступом (ACL) увеличивает безопасность сети и помогает защитить внутреннюю IT-сеть. Коммутаторы серии DGS-1210 поддерживают функцию предотвращения атак ARP Spoofing, защищающую от атак в сети Ethernet, которые могут вызвать изменение трафика или его задержку путем отправки ложных ARP-сообщений. Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

(129)
прочитай еще раз (123)

Проблема решилась разделением участков на группы.

(86) не знал, что гарантийный срок Длинка 10 лет ))

(133) ложится легко, пример - программная петля на днс револдинге

(0)для начала отключите револдинг днс на длинке

Все в процессе=)