Urak! Némi félreértés kering a listán, amit javaslok tisztába rakni.
A végponti Cisco routerekben nincsen 500 egyidejű kapcsolatra korlátozás. Nem is volt, és nem is lehet ilyet beállítani! Ami a gondot okozta, az a tűzfal modulnak a Syn-Flood jellegű támadások ellen védő funkciója. Ebben van egy korlát, ami akkor lép működésbe, ha egy perc alatt 500-at meghaladta a SIKERTELEN kapcsolatok száma. Vagyis amik nem épültek fel rendesen, legyen az TCP (nem jött SYN válasz) vagy UDP (nem jött semmilyen válasz). Ilyenkor a router elkezd dobálni kapcsolatokat, de továbbra is csak olyanokat, amik még nem épültek fel. A problémánkat az okozza, hogy a router nem figyeli az irányt, vagyis nem lehet megmondani, hogy most tényleg Syn-Flood DoS támadás alatt áll a végpont külső irányból, vagy csak annyian szeretnének bentről böngészni, hogy sikerült összehozni az egy perc alatti 500 sikertelen kapcsolatot. Egy torrent klienssel pedig könnyedén össze lehet szedni ennyi hibát. Emiatt nem is állítottuk eddig ezt az alapértelmezett értéket magasabbra mindenkinél. A hibabejelentések során kiadott korrekció általában ez: ip inspect one-minute high 2000 ip inspect one-minute low 1800 A Cisco oldalán olvasható a parancsok részletes magyarázata: http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_i2.html#wp1049787 A probléma több éve ismert, hibabejelentések során szoktuk a fenti beállítással korrigálni, ha megállapítható, hogy ez okozza a gondot. Tervezzük bevezetni, hogy akinél hosszabb távon naplóz a router ilyen problémát, ott automatikusan megemeljük a küszöböt, de ezt még a mérnököknek is jóvá kell hagyni. Az azonban most látszik, hogy van ahol ez is kevés lehet: Mar 9 13:32:57 R00591x.mgmt.koznet.hu 1717: 001946: Mar 9 13:32:56.600: %FW-4-ALERT_ON: getting aggressive, count (659/2000) current 1-min rate: 2001 Mar 9 14:03:00 R00591x.mgmt.koznet.hu 1719: 001948: Mar 9 14:02:59.158: %FW-4-ALERT_ON: getting aggressive, count (753/2000) current 1-min rate: 2001 Mar 9 14:05:56 R00637x.mgmt.koznet.hu 54: 000070: Mar 9 14:05:55.632: %FW-4-ALERT_ON: getting aggressive, count (630/2000) current 1-min rate: 2001 Mar 9 14:16:07 R00589x.mgmt.koznet.hu 3266: 003120: Mar 9 14:16:06.293: %FW-4-ALERT_ON: getting aggressive, count (1062/2000) current 1-min rate: 2001 Mar 9 14:20:55 R00637x.mgmt.koznet.hu 45: 000055: Mar 9 14:20:54.014: %FW-4-ALERT_ON: getting aggressive, count (198/2000) current 1-min rate: 2001 Mar 9 14:36:34 R00637x.mgmt.koznet.hu 56: 000072: Mar 9 14:36:33.119: %FW-4-ALERT_ON: getting aggressive, count (705/2000) current 1-min rate: 2001 Mar 9 14:37:33 R00637x.mgmt.koznet.hu 47: 000057: Mar 9 14:37:32.666: %FW-4-ALERT_ON: getting aggressive, count (348/2000) current 1-min rate: 2001 Az utolsóba (akinél 348 egyidejű half-open kapcsolat van, és az utolsó percben 2001 volt az új half-open kapcsolatok száma) belenézve ezt látom: R00637x#sh ip inspect sessions Established Sessions Session 823E3F24 (192.168.64.24:1658)=>(174.36.75.54:5445) tcp SIS_OPEN Session 82838460 (192.168.64.24:22969)=>(98.124.8.42:30808) udp SIS_OPEN Session 823EAC14 (192.168.64.103:3636)=>(74.125.43.102:80) tcp SIS_OPEN Session 828699A8 (192.168.64.24:22969)=>(61.218.141.132:30715) udp SIS_OPEN Session 8281E588 (192.168.64.24:22969)=>(190.10.215.207:47271) udp SIS_OPEN Session 829718AC (192.168.64.24:22969)=>(125.230.55.216:26558) udp SIS_OPEN Session 82B28284 (192.168.64.24:22969)=>(89.178.18.45:34115) udp SIS_OPEN Session 82BC1718 (192.168.64.24:22969)=>(80.98.197.80:21579) udp SIS_OPEN Session 828292C8 (192.168.64.24:22969)=>(78.86.243.185:35361) udp SIS_OPEN Session 82BBCEE8 (192.168.64.24:22969)=>(89.253.170.187:20002) udp SIS_OPEN Session 82BB0FA0 (192.168.64.24:22969)=>(122.54.181.131:20210) udp SIS_OPEN Session 8297B38C (192.168.64.24:22969)=>(174.1.119.174:26936) udp SIS_OPEN Session 82A07114 (192.168.64.24:22969)=>(85.226.134.188:30277) udp SIS_OPEN Session 8286AAB8 (192.168.64.24:1734)=>(222.73.161.23:80) tcp SIS_OPEN Session 82B20094 (192.168.64.24:22969)=>(93.118.240.131:13882) udp SIS_OPEN Session 82820A48 (192.168.64.24:22969)=>(86.170.70.178:30307) udp SIS_OPEN Session 823E4314 (192.168.64.65:1212)=>(91.198.131.13:80) tcp SIS_OPEN Session 8281E978 (192.168.64.24:22969)=>(78.159.38.216:42598) udp SIS_OPEN Session 8286A2D8 (192.168.64.24:22969)=>(217.132.146.112:51919) udp SIS_OPEN Session 828CBB0C (192.168.64.24:22969)=>(129.97.245.209:39331) udp SIS_OPEN Session 8286B148 (192.168.64.24:22969)=>(59.84.139.92:23950) udp SIS_OPEN Session 8281D1D8 (192.168.64.24:22969)=>(190.160.36.212:24217) udp SIS_OPEN Session 828C892C (192.168.64.103:48669)=>(98.231.4.41:35343) udp SIS_OPEN Session 82BABCF0 (192.168.64.24:22969)=>(218.160.178.81:27055) udp SIS_OPEN Session 828320A0 (192.168.64.24:22969)=>(95.49.108.224:28698) udp SIS_OPEN Session 82BB9A68 (192.168.64.24:22969)=>(95.166.148.240:51215) udp SIS_OPEN Session 8281E828 (192.168.64.24:22969)=>(77.27.16.30:54223) udp SIS_OPEN Session 82BBB358 (192.168.64.24:22969)=>(94.244.176.130:57184) udp SIS_OPEN Session 82861128 (192.168.64.24:22969)=>(142.68.198.173:36797) udp SIS_OPEN Session 82830E40 (192.168.64.24:22969)=>(93.100.89.90:64431) udp SIS_OPEN Session 82BB6738 (192.168.64.24:22969)=>(189.135.118.200:25148) udp SIS_OPEN Session 82866678 (192.168.64.24:22969)=>(119.36.23.142:59456) udp SIS_OPEN Session 8283C4B0 (192.168.64.24:22969)=>(70.49.239.133:56305) udp SIS_OPEN Session 82834E90 (192.168.64.24:22969)=>(76.124.56.74:30289) udp SIS_OPEN … és így tovább 3 oldalon, majd Half-open Sessions Session 82BA7F40 (192.168.64.235:3458)=>(89.186.96.28:6881) udp SIS_OPENING Session 82BA68F0 (192.168.64.103:6881)=>(84.224.12.108:6881) udp SIS_OPENING Session 823E02C4 (192.168.64.235:6881)=>(82.141.141.13:6881) udp SIS_OPENING Session 823DEC74 (192.168.64.103:6881)=>(94.248.162.51:6881) udp SIS_OPENING Session 823E9C54 (192.168.64.235:3458)=>(81.94.253.114:6881) udp SIS_OPENING Session 82BAB3C0 (192.168.64.235:3458)=>(84.2.6.147:6881) udp SIS_OPENING Session 823E78E4 (192.168.64.235:3458)=>(92.249.198.196:6881) udp SIS_OPENING Session 82BA8720 (192.168.64.235:6881)=>(88.254.105.69:6881) udp SIS_OPENING Session 82BA91A0 (192.168.64.103:4301)=>(203.123.91.82:25363) tcp SIS_OPENING Session 82BB2200 (192.168.64.235:6881)=>(121.54.2.187:41489) udp SIS_OPENING Session 823E0804 (192.168.64.103:48669)=>(138.125.205.76:43964) udp SIS_OPENING Session 823E9324 (192.168.64.235:4531)=>(188.156.229.99:6881) tcp SIS_OPENING Session 823EA434 (192.168.64.235:6881)=>(84.224.52.56:48707) udp SIS_OPENING Session 823DE734 (192.168.64.235:4476)=>(93.86.122.113:6881) tcp SIS_OPENING …és még további 6-7 oldal! Egyértelműen torrent, és látszólag a DHT ami a fő problémát okozza. A DHT két okból is káros. Egyrészt mert minimális forgalmat okoz (PVSR grafikonokon látszólag nincs kihajtva a vonal), mégis beindítja a syn-flood védelmet, ami a többiek forgalmára is hatással lehet a half-open kapcsolatok eldobálásával. Másrészt mert a DHT akkor is kommunikál, ha nincsen a felhasználónak aktív torrent kapcsolata. Vagyis a kolléga mossa kezeit, hogy nem miatta van, neki 0kbps/0kbps a torrent forgalma, valójában pedig mégis a torrent kliens miatt akadozik a hálózat. Ezért szoktuk javasolni, hogy előbb a hiba okát kell megszüntetni, és ha nincs javulás, utána jöhet a tüneti kezelés. Más. Többen is jelezték hogy nem találják, ezért leírom, hogy a router/switch on-line diagnosztika oldal az új portál felületen hogyan érhető el: 1. https://www.kozhaloportal.hu/vegpont/ 2. Bal oldalon: "Bejelentések" 3. Középen alul: "Ugrás a bejelentés kezelő felületre" 4. A TSRM indulása után az oldal legtetején: "Ugrás" -> "IT Infrastruktúra" -> "Végpont diagnosztika" 5. Egy üres "Enter" nyomása elég a kereső oldalon. Utána a végpont azonosítójára kell kattintani (Exxxxxx) 6. A router sor alatti "Diagnosztika" gombbal érhető el a lekérdezés. A megjelenő kis ablakban semmit nem kell módosítani, csak alul "OK" gomb. Az senkit ne zavarjon, hogy "Módosítás létrehozása" van a fejlécben. A folyamatvezérlés része ez a funkció is, de nem piszkál bele a router beállításaiba. A lekérdezés még kissé lassú, de már dolgozunk rajta. A fenti probléma esetén a "Half-open Sessions" kulcsszóra kell rákeresni (akinél nincs, ott éppen nincsen egy félig nyitott kapcsolat sem). A listából megállapítható, hogy kívülről támadják-e a végpontot, vagy belső forrása van a hibának. Sőt, az is látszik, ki és milyen forgalommal okozza. Üdv, Péter Tamás ügyfélszolgálat
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx