Загружен под потолок канал передачи PPPOE

Обсуждение ПО и его настройки
Ответить
janna
Сообщения: 2
Зарегистрирован: 04 июл 2019, 10:21

На микротике (прошивка 6,42,7) PPPOE канал на передачу забит на 130% канал всего 10 мегабит а он умудряется 13-14 забивать на передачу, причем на локальных интерфейсах такой нагрузки на передачу нет, из-за такой загрузки не работаю RDP терминалы для доступа к серверам.
Подскажите, как победить данную заразу, или может есть способ сделать общее ограничение инета через PPPOE например 5мб, а для RDP конектов или конкретных внешних IP за которыми стоят сервера сделать без ограничения...

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) проверяйте роутер на наличие скриптом, и в шедюлере на их вызов
2) что с файрволом на роутере?
3) пароли надёжные, новых юзеров не появилось в системе?
4) проверить с помощью утилиты Torch - куда и какой именно трафик и на какие порты
лезет у Вас?

По итогу и пока условно можно сделать вывод:
а) Вас или взломали
или
б) Вас ДДоСят (забивают канал).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
janna
Сообщения: 2
Зарегистрирован: 04 июл 2019, 10:21

1. Скрипты и планировщик пусты
2. Фаерволл работает)
3. Пароли надежные и левых юзеров нет.
4. На Торче показывает много адресов и много портов куда улетает трафик, заблокировать эти адреса фаерволом не удалось.

Думаю взлом исключен, а вот по поводу ддос атак, я их представляю как забивание канала входящего, а у меня именно исходящий забит...


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Сорян, тупанул, забыл что трафик только на pppoe интерфейсе.
Последний раз редактировалось KARaS'b 06 июл 2019, 17:04, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

janna писал(а): 06 июл 2019, 12:28 Думаю взлом исключен, а вот по поводу ддос атак, я их представляю как забивание канала входящего, а у меня именно исходящий забит...
Ну сделайте расследование:
1) поглядите в файрволе, в закладке Коннекшены - в целом на картину
2) Торчем смотрите более уже внимательно, и не только на рррое, но и на порт/бридж локальный,
сопоставьте, найти клиента по трафику, если трафик идёт хотя бы 2-3 минуты = не проблема,
тот же Торч, в нём можно отсортировать...по Rx/Tx, и уже смотреть.
В торче главное поставить все галки, и найти/понять что за порт(ы) используются.

Ну и с другим ответом также соглашусь, посмотреть кто и как юзает порты, пробросы.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить