1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июн 22, 2025 23:12

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
nizam2
 Заголовок сообщения: UDP-наводнение и DES3828
СообщениеДобавлено: Пт июн 15, 2007 17:56 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
Столкнулся с проблемой в сети
Вирус или программа создаёт UDP шторм который значительно перегружает Интернет-шлюз. Дальше сервера UDP-шторм, не проходит, блокируется, Но сильно затрудняет работу практически всей сети
Лечится отключением клиента от сети.

Как ограничить влияние данного вируса-программы на сеть с помощью АСL или других средств на коммутаторах DES3828, которые стоят перед Интернет-шлюзом.

Заранее Спасибо
Вернуться наверх
 Профиль  
 
nizam2
 Заголовок сообщения: Re: UDP-наводнение и DES3828
СообщениеДобавлено: Пт июн 15, 2007 18:33 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
Пошарился по интернету нашол решение проблемы, но не знаю как его реализовать на DES3828

Код:
на примере, АТАКУЮЩИЙ находится в области 192.168.ххх.ххх, и 10.ххх.ххх.ххх доступ которой к Интернет обеспечивается через интернет шлюз. Фильтр входного трафика канала организован на DES-3828, который делит внутреннию сеть на подсети и должен запрещать использование АТАКУЮЩИЙ "неверных" адресов отправителя для UDP, которые находятся вне пределов диапазона, заданного этим префиксом. Другими словами, входной фильтр в "маршрутизаторе DES-3828" должен осуществлять следующую функцию:

IF адрес отправителя пакета лежит в пределах 192.168.ххх.ххх, и 10.ххх.ххх.ххх
THEN переадресовать пакет по назначению,
IF адрес отправителя какой-то иной,
THEN отвергнуть пакет


Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 15, 2007 20:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вам нужно весь трафик закрыть с неправильных подсетей или только UDP? По указанным правилам весь.
Вернуться наверх
 Профиль  
 
nizam2
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 15, 2007 22:16 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
Demin Ivan писал(а):
Вам нужно весь трафик закрыть с неправильных подсетей или только UDP? По указанным правилам весь.


Пока имеет смысл закрыть UDP с неправильных подсетей

Вообще хотелось бы узнать как народ решает подобные проблеммы с UDP флудом
не хотелось бы весь UDP протокол блокировать :)
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 15, 2007 22:19 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
У Вас Multicast шторм получается?
Вернуться наверх
 Профиль  
 
nizam2
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 15, 2007 22:37 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
Demin Ivan писал(а):
У Вас Multicast шторм получается?

Да он самый
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Сб июн 16, 2007 17:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Включите функцию Traffic Control в части Multicast storm control. Порог надо будет подобрать экспериментально.
Вернуться наверх
 Профиль  
 
nizam2
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 02:54 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
Demin Ivan писал(а):
Включите функцию Traffic Control в части Multicast storm control. Порог надо будет подобрать экспериментально.

UDP трафик это же не мультикаст !!! или я чтото не так понимаю
Наверно UDP проще ограничить ACL, только у меня опыта (мозгов) не хватает :(
Может кто сталкивался с данной проблемой ??? помогите
Вернуться наверх
 Профиль  
 
Tt002
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 06:58 
Не в сети

Зарегистрирован: Сб дек 02, 2006 18:13
Сообщений: 101
Откуда: Новосибирск
nizam2 писал(а):
UDP трафик это же не мультикаст !!!
...

Одно другому не мешает :)
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 09:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Multicast это и есть в большинстве случаев UDP пакеты. Попробуйте включить Traffic control для всёх трёх видов штормов.
Вернуться наверх
 Профиль  
 
secandr
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 11:42 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
Ещё можно на маршрутизаторе настроить QoS, ограничить полосу пропускания для UDP пакетов...

_________________
DES 3526 - флагман DLINKостроения
Вернуться наверх
 Профиль  
 
nizam2
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 15:48 
Не в сети

Зарегистрирован: Вт май 03, 2005 06:17
Сообщений: 18
Откуда: Усть-Илимск
secandr писал(а):
Ещё можно на маршрутизаторе настроить QoS, ограничить полосу пропускания для UDP пакетов...

Подскажите какие правила прописать в ACL, а то у меня опыта маловато
Заранее спасибо
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 18, 2007 17:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Полосу пропускания Вы так не ограничите. Как я и говорил для этого есть функция Per Flow Bandwidth control, которая пока в этой серии не реализована.
Вернуться наверх
 Профиль  
 
secandr
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 19, 2007 08:30 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
Demin Ivan полосу пропускания можно ограничить на входящем интерфейсе маршрутизатора, если он позволяет...

nizam2 3828 может только порезать. Что у вас за маршрутизатор?

_________________
DES 3526 - флагман DLINKостроения
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB