паразитный трафик абонента

Все остальное

паразитный трафик абонента

Сообщение waxmax » 22 июн 2010, 13:52

проблема тривиальна, надеюсь таким будет и ответ.
есть сеть на zyxel ies1000 zywall70 и dlink3526, абоненты в DMZ зоне
проблема: переиодически завирусованная машина какого-ниюудь абонента, генерируя паразитный трафик, приводит к заполнению существующего внешнего канала и нестабильной работе сегментов внутренней сети. Тоесть сетка в прямом смысле ложица на 1-2 минуты очень часто.
В логах на шлюзе zywall70 нет ничего полезного, абонента приходица ловить буквально в ручную смотря на лампочки комутатора, (хотя нет, в логах иногда бывает, что нибудь от вредителя).
отключаешь вредителя и сетка живет отлично, стоит его влюкчить, все начинает ложица((
иногда прокатывает предьявить абоненту, что мол проверьтесь на вирусы и мы вас включим(он дествительно чтото находит, мы включаем и все идет нормально), но ествесно не всегда такое прокатывает :(
да это и не дело
как вообще налидить обстановку? может ПО для анализа и фильтрации пакетов, отслежки того кто именно "гадит", или как с правовой точки зрения можно отключить заразного абонента, что бы он навел у себя порядок или еще както?
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: паразитный трафик абонента

Сообщение Андрей » 22 июн 2010, 15:26

Была тема "Черви".
Там было обсуждение этого + ссылки.
Самое дельное решение (если сеть сегментирована на виланы), зарезать трафик по портам на роутере. У меня уже полтора года живет (тьфу, тьфу, тьфу). Единственный минус - не всякое железо позволяет зарезать трафик на непосредственно свитче, но если это можно - почему бы нет.
Как зарезать флуд на канал? - создать соответствующее правило для пакетов уходящих на канал (зарезать по портам).

Как мониторить это? - в принципе достаточно флоу статистики с порта - где больше пакетов - там и гад. (но не всегда это верно)
Есть еще вариант - snort. По для контроля безопасности сети, но оно несколько трудное в настройке.

Как таковое решение - резать порты и вводить жесткие ограничения, хотя и это не панацея.

Либо принудительно заставлять юзеров ставить файрволлы и антивирусы. :lol: Но это другая история.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: паразитный трафик абонента

Сообщение waxmax » 22 июн 2010, 17:24

в законе о связи есть такие пункты, что абонент сети не должен мешать другим абонантам при доступе в эту сеть, иначе он подлежит отключению.
както так. вот щас пока штудирую ЗоС в поисках этих пунктов.
но это как бы да - половина решения проблемы
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: паразитный трафик абонента

Сообщение waxmax » 23 июн 2010, 07:10

вот лог который хоть както касеца абонента:

No. Time Source IP Destination IP Note
1|06/22/2010 22:11:39 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)


172.16.99.80 - абонент
172.16.1.1 - один из лан интерфейсов шлюза
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: паразитный трафик абонента

Сообщение Андрей » 23 июн 2010, 13:20

Код: Выделить всё
No. Time Source IP Destination IP Note
1|06/22/2010 22:11:39 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)

У меня перекрыт icmp трафик от клиента к клиенту между виланами.
На свитчах в пределах дома я не могу перектрыть трафик, т.к. свитчи этого не позволяют.

Если zyxel ies1000 zywall70 и dlink3526 позволяют фильтровать трафик, то я не понимаю в чем проблема.
Закрыли трафик на 135-139, 445 tcp/udp порты и полдела сделано. Зарезали icmp и писанины, как указано ранее, не будет.
А вообще я бы закрыл вообще все порты и открывал только те, которые необходимы для юзеров.
Благо dlink3526 это поддерживает:
http://www.dlink.ru/ru/products/1/407.html писал(а):Расширенный функции безопасности
Серия DES-3500 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети

Если это не реклама.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: паразитный трафик абонента

Сообщение root » 23 июн 2010, 16:47

waxmax писал(а):как вообще налидить обстановку?

1. сегментировать сеть на кусочки
2. посмотреть любым снифером на шлюзе или послушать прямо на влане что летит от абонента. смотрел ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: паразитный трафик абонента

Сообщение waxmax » 24 июн 2010, 07:13

ни разу не юзал снифер, посоветуйте какойнить для начала.

я кстати тут прикрыл ICMP, но это оказалось мало эффективно, так как тут еще и ип-спуфинг, тоесть лог покзывает, что с и-фейса самого шлюза доверенной подсети идет чернь
No. Time Source IP Destination IP Note
1|06/23/2010 15:33:57 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)

так то
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: паразитный трафик абонента

Сообщение Андрей » 24 июн 2010, 08:42

Ну тебе же пишет:
Код: Выделить всё
ip spoofing - WAN ICMP

Значит icmp скорее всего не закрыт.

для 172.16.1.1 и 172.16.99.80 маска какая?

Сеть поделена на сегменты (vlan'ы) или она просто плоская как доска?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: паразитный трафик абонента

Сообщение root » 24 июн 2010, 10:44

waxmax писал(а):ни разу не юзал снифер, посоветуйте какойнить для начала.

под FreeBSD и Linux можно в консоле пользовать:
Код: Выделить всё
tcpdump


есть ещё http://www.wireshark.org/download.html
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: паразитный трафик абонента

Сообщение Андрей » 24 июн 2010, 10:53

root писал(а):
Код: Выделить всё
tcpdump

+1. Хорошый сниффер. В добавок сразу в оси и качать ничего не надо.

Wireshark - чет черезмерно гуева.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron