D-Link • Просмотр темы - Фильтрация по UDP

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Фильтрация по UDP

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 14 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Vorb

Заголовок сообщения: Фильтрация по UDP

Добавлено: Ср дек 19, 2007 19:27

Зарегистрирован: Ср дек 19, 2007 19:23
Сообщений: 1

Появилась проблема в сети - т.н. Nassi. Это чат, который работает UDP, делает широковещальную рассылку на определенный порт. Его нужно убить, слишком много он ест )
При помощи какого коммутатора это можно фильтровать такого вида трафик?

Вернуться наверх

Yuriev Denis

Заголовок сообщения:

Добавлено: Ср дек 19, 2007 19:41

Сотрудник D-LINK

Зарегистрирован: Ср мар 21, 2007 10:37
Сообщений: 393

Например DES-3526 c функцией Packet Content Filter

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Чт дек 20, 2007 14:15

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Yuriev Denis писал(а):

Например DES-3526 c функцией Packet Content Filter

Зачем всё усложнять?

Пример фильтров для 3526 на 137 и 138 порты UDP на 5-м порту свича:

create access_profile ip udp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 137 port 5 deny
config access_profile profile_id 1 add access_id 2 ip udp src_port 138 port 5 deny

Работает не нагружая железку фильтром контента пакета.

Вернуться наверх

Vladimir Gerasimov

Заголовок сообщения:

Добавлено: Чт дек 20, 2007 21:50

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov

terrible писал(а):

Зачем всё усложнять?...Пример фильтров для 3526 на 137 и 138 порты UDP на 5-м порту свича..

Затем, что предположим зафильтрует человек пресловутую связку 50138-50139 (или только dst udp port 50138). Так ведь пользователи-то - не дураки! Они ж другие порты для nassi сконфигурируют.
Так что вы не правы. Полноценно "убить" этот чат можно только через packet_content_filter (DES-3526 - хороший выбор).
И, кстати, а с чего вы решили, что packet_content_filter "грузит железку"?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт дек 20, 2007 23:25

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Этот функционал реализован полностью в железе.

Вернуться наверх

Belos

Заголовок сообщения:

Добавлено: Пт янв 25, 2008 23:38

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 87

Можно поподробней на счет этого чата... и мультикаста в целом.
Если можно вышлите последнюю прошивку на 3526. Спасибо.

Вернуться наверх

Belos

Заголовок сообщения:

Добавлено: Вс май 04, 2008 16:07

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 87

Так кто нить подскажет как убить этот чат?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс май 04, 2008 17:04

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вы пакеты-то заснифферили? Поняли по какому признаку фильтровать (что не меняется)?

Вернуться наверх

Belos

Заголовок сообщения:

Добавлено: Вс май 11, 2008 17:55

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 87

Вот что я поймал:

Код:

Frame 249 (101 bytes on wire, 101 bytes captured)
Ethernet II, Src: EdimaxTe_d9:1c:04 (00:0e:2e:d9:1c:04), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
    Source: EdimaxTe_d9:1c:04 (00:0e:2e:d9:1c:04)
    Type: IP (0x0800)
Internet Protocol, Src: 10.0.0.Х (10.0.0.Х), Dst: 255.255.255.255 (255.255.255.255)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
    Total Length: 87
    Identification: 0x5372 (21362)
    Flags: 0x00
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (0x11)
    Header checksum: 0xdc3b [correct]
    Source: 10.0.0.Х (10.0.0.Х)
    Destination: 255.255.255.255 (255.255.255.255)
    User Datagram Protocol, Src Port: 7778 (7778), Dst Port: 7777 (7777)
    Source port: 7778 (7778)
    Destination port: 7777 (7777)
    Length: 67
    Checksum: 0xdfef [correct]
Data (59 bytes)

0000  ff ff ff ff ff ff 00 0e  2e d9 1c 04 08 00 45 00   ........ ......E.
0010  00 57 53 72 00 00 80 11  dc 3b 0a 00 00 e9 ff ff   .WSr.... .;......
0020  ff ff 1e 62 1e 61 00 43  df ef 02 3b 00 f8 de 7f   ...b.a.C ...;....
0030  c3 4e 35 2a 25 64 d5 72  11 14 1d e5 d4 ff e7 de   .N5*%d.r ........
0040  ec 25 c7 c4 0e b6 2c 8c  c6 b3 8d 02 2c 1b 90 2a   .%....,. ....,..*
0050  36 82 88 24 0f 89 91 fd  9f 2f 0d 78 01 87 6a 3c   6..$.... ./.x..j<
0060  02 94 0e 9c 8e 

Это после того как сменили порт с 15138 на 7777. Я так понял что нужно запретить бродкаст...? Или это не поможет? Помогите пожалуйста разобраться!

Если сделать так:

Код:

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 1 
config access_profile profile_id 1 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny

меня это спасет?

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Вс май 11, 2008 18:45

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

Цитата:

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny

это поможет, только вы запретите все бродкасты в том числе и ARP, и наврядли вообще что нибудь заработает

Вернуться наверх

Belos

Заголовок сообщения:

Добавлено: Вс май 11, 2008 19:07

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 87

Может подскажете как быть в моем случае... Тут http://www.dlink.ru/technical/faq_hub_switch_90.php вроде как бы и понятно написано, и не понятно ))) Дело в том что там написан пример по портиам... у в этом чате порт можно сменить. Спасибо!

Вернуться наверх

Vladimir Gerasimov

Заголовок сообщения:

Добавлено: Вс май 11, 2008 19:14

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov

Код:

create access_profile packet_content_mask
   offset_0-15   0x00000000  0x00000000  0x00000000  0xFFFF0000 
   offset_16-31  0xFFFFFF00  0x00000000  0xFFFF00FF  0x00000000
   offset_32-47  0x00000000  0x00000000  0x0000FF07  0x0000FF07
   offset_48-63  0xFF000000  0x00000000  0x00000000  0x00000000
   profile_id 35
            
config access_profile profile_id 35 add access_id auto packet_content_mask
   offset_0-15   0x00000000  0x00000000  0x00000000  0x81000000
   offset_16-31  0x08004500  0x00000000  0x00000011  0x00000000
   offset_32-47  0x00000000  0x00000000  0x00000003  0x00000203
   offset_48-63  0x00000000  0x00000000  0x00000000  0x00000000
   port 1-24 deny

вот собственно то, что должно спасти отца русской демократии...
если что-то непонятно, постараюсь ответить

Вернуться наверх

Belos

Заголовок сообщения:

Добавлено: Вс май 11, 2008 20:02

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 87

Спасибо за ответ, попробую и постораюсь разобраться, но хотелось понять принцип составления правил....

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср май 14, 2008 22:51

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Высчитываете смещение нужных байт относительно пакета, учитываете смещения внутри самого устройства, обычно 4 байта но бывает в разных сериях по разному, и в маске в тех битах по которым в правиле нужно полное совпадение ставите единицы, а по которым анализировать не надо нули. В правиле уже прописываете реальные значения этих битов.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 14 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения