Доброго времени суток. Прошу Вашей помощи. Проблема следующая кто-то предполагаем целенаправлено атакует нашу сеть, в определенный промежуток времени с разными интервалами . Основные симпотомы - пропадает неожиданно управление на ядро, очень высокие пинги. Итог: ложится вся сеть. На флудящую карту или порт не похоже.
В качестве ядра DGS-3610 в логах ничего нет, на промежуточных узлах DGS-3324SR DXS-3326GSR аномалий необнаружено, на домах в основном 3526, 3028 и некоторые другие коммутаторы.
Подскажите как на практике вычислить злоумышленника, может более высокие уровни логирования или иные инструменты???
Буду Вам благодарен!

А зашкаливающих по трафику портов на моменты падения сети нет?

это скорее всего не атака, а лупы или просто глюки какого-либо оборудования на ветках, на 3526 и etc включайте стп, лупдетект, трафик контроль и, где можно, порт секюрити, и мониторте их логи
у нас подобное когда-то было когда закольцевали DES-1210-28 на цепочке 3610 - 3200 - 1210, никакой защиты включено не было (бывает) и упало все, что крутилось на 3610
p.s.: 3610 нужно прошить последней прошивкой и смотреть защитный функционал

теряется управление от большой нагруки цпу, а это не обязательно атака. Возможно у вас очень много арпов в сети.
У вас схема влан на дом, влан на порт, влан на всех.... ?

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Loop detection включен на абонентских портах кроме прихода, STP Disabled, В основном все дома в 1 влане дефолтном, сейчас переводим каждый дом на свой vlan internet + vlan iptv + management vlan + DHCP. Трафик контроль выключен и порт секьюрити. В логах свитчей все в норме, есть еще сервер логирования на него все сливается но там ничего такого.
На кольцо не похоже нет закономерности началось все пару дней назад а в сети ничего не менялось, это происходит когда заканчивается рабочий день, похоже это человек.
Нагрузку CPU помониторим + анализатор трафика wireshark отпишусь по результатам.
To Siny А какая прошивка последняя? У нас dgs3610_DI_94612_install.bin есть свежее??

Попробуйте enable spaning-tree на DGS. Похоже - где-то кольцо поднимается. Увидите с какого порта проблема и там ищите дальше.

Спасибо учтем, отпишемся.

Подскажите у меня включено Логирование Severenity ALL - это все события, Facility - Local0. Объясните про Facility есть 7 уровень это самый подробный??

это не ко мне вопрос, но по вашей проблеме уже посоветовали, включите stp, не только на dgs, а и у коммутаторов на ветках


что за уровень 7?
local7?
RFC 3164 - они одинаковые, для собственных нужд так сказать, вы syslog сервер используете?

в момент атаки необходимо помониторить порты.
Была атака - 50 мегабит мелкопакетного udp трафика через 3627G убивало насмерть коммутатор. хотя длинк заявляет 80.36 Mpps.
у 3750G заявлено меньше, даже не чихнул

А где Вы эту взяли? Мне в запросе прошивок дали ссылку на фтп и версию 92751

To shulik Прошивку прислал кто из длинка мне, насколько я знаю в марте будет новая версия она сейчас на тесте у длинка. На фтп старое почему-то многое.
To Siny stp на ядре был включен и было это не кольцо как я в начале сказал а человек да и используем syslog туда сливаются логи со всего оборудования!

на ядре stp, в вашем случае, включать бессмысленно (если это у вас реально не используется) - это не поймает локального кольца на ветках, именно на оборудовании веток нужно включить stp, в дополнении к лупу
если syslog есть, то через Facility можно разделить группы оборудования в логах

Давайте разбираться
У вас cpu как я понял, на 3610 очень загружена?
В момент этой самой "загрузки" сделайте sh cpu и покажите вывод.

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Загрузка не больше 25 процентов!