Блокировки за broadcast и multicast, Почему? За что? И как решить? |
Здравствуйте, гость ( Вход | Регистрация )
Блокировки за broadcast и multicast, Почему? За что? И как решить? |
26.3.2009, 1:10
Сообщение
#1
|
|
Junior Member Группа: Пользователи Сообщений: 96 Регистрация: 13.1.2008 Пользователь №: 20 |
Что такое?
Ну что ж, начасть стоит с того, что же представляет из себя броадкаст и мультикаст трафик и почему его так боятся провайдеры? Флуд (англ. flood) -атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы -процессора, памяти либо каналов связи. Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS). : Что такое широковещательный (broadcast) трафик? Это пакеты информации, которые назначены для получения всеми компьютерами сети. Такие пакеты в основном предназначены для получения адреса какого-либо компьютера в сети (arp пакеты) или адреса компьютера, на котором работает какой-либо сетевой сервис (ip broadcast). В нормальном режиме работы одна машина в сети рассылает порядка 10-20 таких пакетов в минуту. Если вы наблюдаете большое значение Milticast\Broadcast RX в столбце Frames/sec - это и есть флуд. (команда sh packet ports) Если идут прыжки >10 frames per sec - у клиента явно проблемы Что такое широковещательный (multicast) трафик? Это многоадресная рассылка, в широком смысле слова – связь между ОДНИМ отправителем и несколькими получателями. В отличие от BROADCAST сообщений, посылаемым всем адресатам сети, MULTICAST сообщения отправляются определенной подгруппе сетевых адресов, которая представляет собой несуществующий MAC-адрес определенный в данном протоколе многоадресной рассылки. Суть многоадресной рассылки (MULTICAST) в том, что она позволяет нескольким получателям принимать сообщения БЕЗ передачи сообщений каждому хосту BROADCAST домена. MULTICAST подобна почтовой рассылке: пользователь или приложение ПОДПИСЫВАЮТСЯ на определенную группу многоадресной рассылки. Если хост не подписан на группу, он не обрабатывает пакеты, ей адресованные. В BROADCAST коммуникации имеется глобальный адрес (255.255.255.255), на который отвечают все узлы. Многоадресная рассылка применяет адреса, на которые отвечают лишь некоторые узлы (которых подписали). Область MULTICAST охватывает адреса 224.0.0.0 – 239.255.255.255 . Управляется протоколами IGMP (Internet Group Management Protocol – есть несколько версий) и CGMP (CISCO Group Management Protocol – работает только на оборудовании CISCO). Зачем нужна фильтрация широковещательного трафика? Как уже было сказано, broadcast и multicast пакеты получают все компьютеры в сети и соответственно на каждый пакет тратиться время на коммутаторах чтобы его переслать и на каждом компьютере на обработку этого пакета. При нормальном режиме это не вызывает каких либо проблем, но в последнее время появились вирусы, т.н. черви (worms) , которые после заражения машины начинают искать другие хосты в сети, которые можно заразить, и делают это, рассылая broadcast или multicast пакеты со скоростью до 10000 в минуту. Несколько таких зараженных машин в сети достаточно, чтобы существенно понизить общую пропускную способность. Лимит широковещательного трафика по Калуге - 10 фреймов в секунду, за превышение лимита порт на свитче сначала кладётся на сутки, потом перманентно (разблокировка происходит только после звонка в компанию). Итак. Что же может быть причиной генерации широковещательного трафика? 1. Основная и самая частая причина флуда - вирусы. 2. В windows vista причиной multicast шторма может быть активный IPv6 протокол. Его необходимо отключать. 3. Кроме того, причиной флуда могут служить компьютерные игры : -Command & Conquer 3 -Dungeon Siege -Armed Assault -Left for Dead (Решение проблемы находится на форуме homenet.corbina.net в разделе: "Домашний интернет Corbina telecom - форумы > Игровые ресурсы. Кураторы подраздела: Warhead и Barmaley > Online игры > Игровой Портал >Новинки") А также: 1. NetBIOS-трафик. Основной источник флуда в сети и инициатор лавинных ARP-запросов. По поводу отключения см. здесь: http://virusinfo.info/showthread.php?t=4243 2. Сервисы SSDP (UPnP) и IGMP иногда анонсируют себя в сети. Клиенты этих сервисов также применяют multicast для поиска серверов. Периодичности не заметил, скорее всего работают по запросу приложений верхних уровней, например, клиентов с поддержкой UPnP. 3. P2P-клиенты могут искать пиров в локальной сети при определённых обстоятельствах. Например, uTorrent при отключенном VPN каждые 5 минут высылает пачкой N запросов, где N - число запущенных торрентов: BT-SEARCH * HTTP/1.1 Host: 239.192.152.143:6771 Вызывает Multicast storm на порту. 4. IPX. Иногда встречается в сети. Протокол имеет репутацию засирателя локальных сетей. 5. Сервис Bonjour, устанавливаемый с некоторыми продуктами Adobe. Стреляет мультикастами на 224.0.0.251 при инициализации интерфейсов. Судя по отзывам пользователей, вызывает блокировки за Multicast flood. 6. Одноранговые сетевые чаты и файлообменники типа Vypress Chat. Работают на UDP поверх multicast'а или broadcast'а. 7. Некоторые кривые сетевые карты и их драйверы (отличный пример - USB сетевая D-link DUB-E100 ) Меня заблокировали! Что делать? Симптомы при блокировке порта очень простые: ОС пишет "сетевой кабель не подключен", т.е. происходит тоже самое что и при обрыве кабеля. Узнать в чем же собственно проблема можно только позвонив по 555-000, где оператор сможет сразу определить источник неисправности (ну а если не сможет - определит инженер тех. поддержки). Узнав что вы заблокированы - не надо беситься и истекать слюнями, никому ничего доказать не удастся (см. договор: (Условия предоставления услуги) п.1.2 : Цитата - действия, направленные на получение несанкционированного доступа или нарушение нормального функционирования сетей передачи данных, телематических служб, телефонной сети, их элементов, а так же компьютеров, другого оборудования или программного обеспечения, не принадлежащего Заказчику Цитата - публиковать или передавать информацию или программное обеспечение, которое содержит в себе компьютерные "вирусы" или способно нарушить нормальную работу компьютеров, не принадлежащих Заказчику; " и п.1.3. Цитата Заказчик обязан принять все меры, для обеспечения корректной настройки и эксплуатации своего программного и аппаратного обеспечения с тем, чтобы не допускать несанкционированного или противоречащего настоящим Условиям использования ресурсов Заказчика третьими лицами и организациями. В частности, Заказчик обязан своевременно проводить профилактику компьютерных "вирусов". Так что же надо сделать что б вас разблокировали? 1. Если вы знаете за что вам положило порт - сразу же изложить оператору свою версию 2. Если не знаете - нужно проверить систему антивирусом с максимально свежими сигнатурами и только после этого звонить с разблокировкой, иначе ваш порт опять окажется заблокированным не пройдёт и пяти минут. 3. В особо редких случаях - проблема может носить физический характер (хотя зачастую решается просто заменой сетевой карты), если есть подозрения на это - нужно просить чтобы вас соединили со специалистом тех. поддержки. --- Во время звонка нужно обязательно находится возле компьютера, держать его включенным (и с подключенным кабелем).----- |
|
|
Текстовая версия | Сейчас: 28.4.2024, 17:10 | |