sulinet adsl

Péter Tamás Tamas.Peter at netvisor.hu
2010. Már. 9., K, 16:12:16 CET


Urak!

Némi félreértés kering a listán, amit javaslok tisztába rakni.

A végponti Cisco routerekben nincsen 500 egyidejű kapcsolatra korlátozás. Nem is volt, és nem is lehet ilyet beállítani!

Ami a gondot okozta, az a tűzfal modulnak a Syn-Flood jellegű támadások ellen védő funkciója. Ebben van egy korlát, ami akkor lép működésbe, ha egy perc alatt 500-at meghaladta a SIKERTELEN kapcsolatok száma. Vagyis amik nem épültek fel rendesen, legyen az TCP (nem jött SYN válasz) vagy UDP (nem jött semmilyen válasz). Ilyenkor a router elkezd dobálni kapcsolatokat, de továbbra is csak olyanokat, amik még nem épültek fel. 

A problémánkat az okozza, hogy a router nem figyeli az irányt, vagyis nem lehet megmondani, hogy most tényleg Syn-Flood DoS támadás alatt áll a végpont külső irányból, vagy csak annyian szeretnének bentről böngészni, hogy sikerült összehozni az egy perc alatti 500 sikertelen kapcsolatot. Egy torrent klienssel pedig könnyedén össze lehet szedni ennyi hibát. Emiatt nem is állítottuk eddig ezt az alapértelmezett értéket magasabbra mindenkinél. 

A hibabejelentések során kiadott korrekció általában ez:
ip inspect one-minute high 2000
ip inspect one-minute low 1800

A Cisco oldalán olvasható a parancsok részletes magyarázata:
http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_i2.html#wp1049787

A probléma több éve ismert, hibabejelentések során szoktuk a fenti beállítással korrigálni, ha megállapítható, hogy ez okozza a gondot. Tervezzük bevezetni, hogy akinél hosszabb távon naplóz a router ilyen problémát, ott automatikusan megemeljük a küszöböt, de ezt még a mérnököknek is jóvá kell hagyni. Az azonban most látszik, hogy van ahol ez is kevés lehet:

Mar  9 13:32:57 R00591x.mgmt.koznet.hu 1717: 001946: Mar  9 13:32:56.600: %FW-4-ALERT_ON: getting aggressive, count (659/2000) current 1-min rate: 2001
Mar  9 14:03:00 R00591x.mgmt.koznet.hu 1719: 001948: Mar  9 14:02:59.158: %FW-4-ALERT_ON: getting aggressive, count (753/2000) current 1-min rate: 2001
Mar  9 14:05:56 R00637x.mgmt.koznet.hu 54: 000070: Mar  9 14:05:55.632: %FW-4-ALERT_ON: getting aggressive, count (630/2000) current 1-min rate: 2001
Mar  9 14:16:07 R00589x.mgmt.koznet.hu 3266: 003120: Mar  9 14:16:06.293: %FW-4-ALERT_ON: getting aggressive, count (1062/2000) current 1-min rate: 2001
Mar  9 14:20:55 R00637x.mgmt.koznet.hu 45: 000055: Mar  9 14:20:54.014: %FW-4-ALERT_ON: getting aggressive, count (198/2000) current 1-min rate: 2001
Mar  9 14:36:34 R00637x.mgmt.koznet.hu 56: 000072: Mar  9 14:36:33.119: %FW-4-ALERT_ON: getting aggressive, count (705/2000) current 1-min rate: 2001
Mar  9 14:37:33 R00637x.mgmt.koznet.hu 47: 000057: Mar  9 14:37:32.666: %FW-4-ALERT_ON: getting aggressive, count (348/2000) current 1-min rate: 2001

Az utolsóba (akinél 348 egyidejű half-open kapcsolat van, és az utolsó percben 2001 volt az új half-open kapcsolatok száma) belenézve ezt látom:

R00637x#sh ip inspect sessions
Established Sessions
 Session 823E3F24 (192.168.64.24:1658)=>(174.36.75.54:5445) tcp SIS_OPEN
 Session 82838460 (192.168.64.24:22969)=>(98.124.8.42:30808) udp SIS_OPEN
 Session 823EAC14 (192.168.64.103:3636)=>(74.125.43.102:80) tcp SIS_OPEN
 Session 828699A8 (192.168.64.24:22969)=>(61.218.141.132:30715) udp SIS_OPEN
 Session 8281E588 (192.168.64.24:22969)=>(190.10.215.207:47271) udp SIS_OPEN
 Session 829718AC (192.168.64.24:22969)=>(125.230.55.216:26558) udp SIS_OPEN
 Session 82B28284 (192.168.64.24:22969)=>(89.178.18.45:34115) udp SIS_OPEN
 Session 82BC1718 (192.168.64.24:22969)=>(80.98.197.80:21579) udp SIS_OPEN
 Session 828292C8 (192.168.64.24:22969)=>(78.86.243.185:35361) udp SIS_OPEN
 Session 82BBCEE8 (192.168.64.24:22969)=>(89.253.170.187:20002) udp SIS_OPEN
 Session 82BB0FA0 (192.168.64.24:22969)=>(122.54.181.131:20210) udp SIS_OPEN
 Session 8297B38C (192.168.64.24:22969)=>(174.1.119.174:26936) udp SIS_OPEN
 Session 82A07114 (192.168.64.24:22969)=>(85.226.134.188:30277) udp SIS_OPEN
 Session 8286AAB8 (192.168.64.24:1734)=>(222.73.161.23:80) tcp SIS_OPEN
 Session 82B20094 (192.168.64.24:22969)=>(93.118.240.131:13882) udp SIS_OPEN
 Session 82820A48 (192.168.64.24:22969)=>(86.170.70.178:30307) udp SIS_OPEN
 Session 823E4314 (192.168.64.65:1212)=>(91.198.131.13:80) tcp SIS_OPEN
 Session 8281E978 (192.168.64.24:22969)=>(78.159.38.216:42598) udp SIS_OPEN
 Session 8286A2D8 (192.168.64.24:22969)=>(217.132.146.112:51919) udp SIS_OPEN
 Session 828CBB0C (192.168.64.24:22969)=>(129.97.245.209:39331) udp SIS_OPEN
 Session 8286B148 (192.168.64.24:22969)=>(59.84.139.92:23950) udp SIS_OPEN
 Session 8281D1D8 (192.168.64.24:22969)=>(190.160.36.212:24217) udp SIS_OPEN
 Session 828C892C (192.168.64.103:48669)=>(98.231.4.41:35343) udp SIS_OPEN
 Session 82BABCF0 (192.168.64.24:22969)=>(218.160.178.81:27055) udp SIS_OPEN
 Session 828320A0 (192.168.64.24:22969)=>(95.49.108.224:28698) udp SIS_OPEN
 Session 82BB9A68 (192.168.64.24:22969)=>(95.166.148.240:51215) udp SIS_OPEN
 Session 8281E828 (192.168.64.24:22969)=>(77.27.16.30:54223) udp SIS_OPEN
 Session 82BBB358 (192.168.64.24:22969)=>(94.244.176.130:57184) udp SIS_OPEN
 Session 82861128 (192.168.64.24:22969)=>(142.68.198.173:36797) udp SIS_OPEN
 Session 82830E40 (192.168.64.24:22969)=>(93.100.89.90:64431) udp SIS_OPEN
 Session 82BB6738 (192.168.64.24:22969)=>(189.135.118.200:25148) udp SIS_OPEN
 Session 82866678 (192.168.64.24:22969)=>(119.36.23.142:59456) udp SIS_OPEN
 Session 8283C4B0 (192.168.64.24:22969)=>(70.49.239.133:56305) udp SIS_OPEN
 Session 82834E90 (192.168.64.24:22969)=>(76.124.56.74:30289) udp SIS_OPEN
… és így tovább 3 oldalon, majd
Half-open Sessions
 Session 82BA7F40 (192.168.64.235:3458)=>(89.186.96.28:6881) udp SIS_OPENING
 Session 82BA68F0 (192.168.64.103:6881)=>(84.224.12.108:6881) udp SIS_OPENING
 Session 823E02C4 (192.168.64.235:6881)=>(82.141.141.13:6881) udp SIS_OPENING
 Session 823DEC74 (192.168.64.103:6881)=>(94.248.162.51:6881) udp SIS_OPENING
 Session 823E9C54 (192.168.64.235:3458)=>(81.94.253.114:6881) udp SIS_OPENING
 Session 82BAB3C0 (192.168.64.235:3458)=>(84.2.6.147:6881) udp SIS_OPENING
 Session 823E78E4 (192.168.64.235:3458)=>(92.249.198.196:6881) udp SIS_OPENING
 Session 82BA8720 (192.168.64.235:6881)=>(88.254.105.69:6881) udp SIS_OPENING
 Session 82BA91A0 (192.168.64.103:4301)=>(203.123.91.82:25363) tcp SIS_OPENING
 Session 82BB2200 (192.168.64.235:6881)=>(121.54.2.187:41489) udp SIS_OPENING
 Session 823E0804 (192.168.64.103:48669)=>(138.125.205.76:43964) udp SIS_OPENING
 Session 823E9324 (192.168.64.235:4531)=>(188.156.229.99:6881) tcp SIS_OPENING
 Session 823EA434 (192.168.64.235:6881)=>(84.224.52.56:48707) udp SIS_OPENING
 Session 823DE734 (192.168.64.235:4476)=>(93.86.122.113:6881) tcp SIS_OPENING
…és még további 6-7 oldal!

Egyértelműen torrent, és látszólag a DHT ami a fő problémát okozza. A DHT két okból is káros. Egyrészt mert minimális forgalmat okoz (PVSR grafikonokon látszólag nincs kihajtva a vonal), mégis beindítja a syn-flood védelmet, ami a többiek forgalmára is hatással lehet a half-open kapcsolatok eldobálásával. Másrészt mert a DHT akkor is kommunikál, ha nincsen a felhasználónak aktív torrent kapcsolata. Vagyis a kolléga mossa kezeit, hogy nem miatta van, neki 0kbps/0kbps a torrent forgalma, valójában pedig mégis a torrent kliens miatt akadozik a hálózat.

Ezért szoktuk javasolni, hogy előbb a hiba okát kell megszüntetni, és ha nincs javulás, utána jöhet a tüneti kezelés.


Más.

Többen is jelezték hogy nem találják, ezért leírom, hogy a router/switch on-line diagnosztika oldal az új portál felületen hogyan érhető el:

1. https://www.kozhaloportal.hu/vegpont/
2. Bal oldalon: "Bejelentések"
3. Középen alul: "Ugrás a bejelentés kezelő felületre"
4. A TSRM indulása után az oldal legtetején: "Ugrás" -> "IT Infrastruktúra" -> "Végpont diagnosztika"
5. Egy üres "Enter" nyomása elég a kereső oldalon. Utána a végpont azonosítójára kell kattintani (Exxxxxx)
6. A router sor alatti "Diagnosztika" gombbal érhető el a lekérdezés. A megjelenő kis ablakban semmit nem kell módosítani, csak alul "OK" gomb. Az senkit ne zavarjon, hogy "Módosítás létrehozása" van a fejlécben. A folyamatvezérlés része ez a funkció is, de nem piszkál bele a router beállításaiba.

A lekérdezés még kissé lassú, de már dolgozunk rajta. A fenti probléma esetén a "Half-open Sessions" kulcsszóra kell rákeresni (akinél nincs, ott éppen nincsen egy félig nyitott kapcsolat sem). A listából megállapítható, hogy kívülről támadják-e a végpontot, vagy belső forrása van a hibának. Sőt, az is látszik, ki és milyen forgalommal okozza.



Üdv,
Péter Tamás
ügyfélszolgálat






További információk a(z) Techinfo levelezőlistáról