Страница 3 из 4
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 17:10
TauRus_tj
gmx писал(а):Да пакеты-то никуда не денутся. И теперь проще заблокировать будет.
Веселье продолжается, только уже по WAN порту_)
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 17:54
gmx
Заблокируйте в цепочке INPUT доступ с адреса 75.53.176.6, правда уляжется не сразу. Нужно время.
Можно вообще всю подсеть грохнуть. Судя по whois - это адреса абонентов американской AT&T.
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 17:58
TauRus_tj
gmx писал(а):Заблокируйте в цепочке INPUT доступ с адреса 75.53.176.6, правда уляжется не сразу. Нужно время.
Спасибо огромное, попробую. Извините за глупый вопрос: а почему именно этот айпи? Так, для саморазвития и понимания логики.
IP 75.53.176.6
Хост: 75-53-176-6.lightspeed.mdstca.sbcglobal.net
Город: Modesto
Страна: United States
IP диапазон: 75.0.0.0 - 75.63.255.255
Название провайдера: AT&T Internet Services
95.142.87.57 - это айпи какого-то абонента моего провайдера, до этого я пытался его всегда заблокировать.
Добавил следующее правило и поставил его первым:
0 chain=input action=drop src-address=75.0.0.0/10 log=no log-prefix=""
Заблокировал всю сеть, если надо будет что-то из этой сети, потом открою. Все верно?
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:03
gmx
Проблема у провайдера. Это очевидно. Можете эти скрины отправить им в техподдежку. Только свой IP не затирайте, чтобы они видели, что пакеты к вам падают от чужого абонента.
Вы MAC адрес микротика диктовали провайдеру или клонировали MAC от TP-Link. Или провайдеру все равно какой у MAC???
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:07
TauRus_tj
gmx писал(а):Проблема у провайдера. Это очевидно. Можете эти скрины отправить им в техподдежку. Только свой IP не затирайте, чтобы они видели, что пакеты к вам падают от чужого абонента.
Вы MAC адрес микротика диктовали провайдеру или клонировали MAC от TP-Link. Или провайдеру все равно какой у MAC???
Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.
А с чем связана такая загрузка ЦП Микротика?
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:08
gmx
Если это не DDoS, то провайдера нужно теребить. Возможно в сети на одном коммутаторе дубль MAC адресов, может быть коммутатор вышел из строя, может быть кто-то (а может и сам провайдер) организовал петлю. Очень трудно все это предсказать. Разные коммутаторы в экстремальных условиях ведут себя по разному. Хороший и дорогой (кстати и Микротик тоже, при правильной настройке) уже бы отключил проблемный порт/порты. Но везде правит бал D-link. И не самый дорогой D-Link все провайдеры экономят.
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:09
gmx
TauRus_tj писал(а):
Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.
А IP у вас белый фиксированный??? Если да, тогда больше похоже на DDoS.
Такая загрузка вполне объяснима. Во-первых микротик не знает что с этими пакетами делать, во-вторых ICMP - это протокол, фактически, управления взаимодействием, он служебный, в норме там очень мало пакетов. Такое количество переварить микротику будет очень трудно.
Все это очень похоже на DDoS.
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:13
TauRus_tj
gmx писал(а):Если это не DDoS, то провайдера нужно теребить. Возможно в сети на одном коммутаторе дубль MAC адресов, может быть коммутатор вышел из строя, может быть кто-то (а может и сам провайдер) организовал петлю. Очень трудно все это предсказать. Разные коммутаторы в экстремальных условиях ведут себя по разному. Хороший и дорогой (кстати и Микротик тоже, при правильной настройке) уже бы отключил проблемный порт/порты. Но везде правит бал D-link. И не самый дорогой D-Link все провайдеры экономят.
Ясно, из всего я так понимаю, что именно мне идут пакеты, или все-таки это широковещательный пакет, на всю подсеть, мне вроде провайдер так объяснил, и что они ищут причину. А с чем связана такая загрузка ЦП Микротика, у меня даже при полном нагрузе канала никогда выше 15-20% не поднималась загруженность ЦП.
gmx писал(а):TauRus_tj писал(а):
Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.
А IP у вас белый фиксированный??? Если да, тогда больше похоже на DDoS.
Да, белый, реальный. Только это вряд ли DDoS, кому нужен мой домашний айпишник))) Где смотрят только шару и айпитиви, ну телефоны в вайфае)
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:22
gmx
ICMP никогда не использует широковешательные пакеты. Это заложено в стандарты.
При DDoS там используется такая штука, когда пакет направляется именно туда, куда нужно, в самом пакете адрес получателя подменяется. Я не сильно в это вдавался. Сложно все это, очень сложно.
В вашем случае Микротик получая такой пакет, понимает, что он предназначался не ему и отправляет его в основной шлюз, но тот уже пометил этот пакет как ваш и направляет его вам обратно. Это так на пальцах. А может миротик его никуда и не отправляет? он просто вынужден ждать время TTL и если пакетов очень много, то они просто забивают всю память микротика.
Re: проблема с мостом из 2 RBLHG5nD
Добавлено: 08 ноя 2016, 18:26
gmx
IP ваш, конечно, никому не нужен, это просто баловство. Сидит школьник, случайным образом выбрал IP, ну и фигачит. Могут просто боты и так далее.
Сервера картшаринга очень часто ддосят, мало ли, может и как-то ваш адрес попал в список. А может они уже и абонентов шары ддосят.
А может и провайдер накосячил. Как угадаешь-то?