Блокировки за broadcast и multicast, Почему? За что? И как решить? Опции

[Phoen]

Что такое?

Ну что ж, начасть стоит с того, что же представляет из себя броадкаст и мультикаст трафик и почему его так боятся провайдеры?

Флуд (англ. flood) -атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы -процессора, памяти либо каналов связи. Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS). :

Что такое широковещательный (broadcast) трафик? Это пакеты информации, которые назначены для получения всеми компьютерами сети. Такие пакеты в основном предназначены для получения адреса какого-либо компьютера в сети (arp пакеты) или адреса компьютера, на котором работает какой-либо сетевой сервис (ip broadcast). В нормальном режиме работы одна машина в сети рассылает порядка 10-20 таких пакетов в минуту. Если вы наблюдаете большое значение Milticast\Broadcast RX в столбце Frames/sec - это и есть флуд. (команда sh packet ports) Если идут прыжки >10 frames per sec - у клиента явно проблемы

Что такое широковещательный (multicast) трафик? Это многоадресная рассылка, в широком смысле слова – связь между ОДНИМ отправителем и несколькими получателями. В отличие от BROADCAST сообщений, посылаемым всем адресатам сети, MULTICAST сообщения отправляются определенной подгруппе сетевых адресов, которая представляет собой несуществующий MAC-адрес определенный в данном протоколе многоадресной рассылки. Суть многоадресной рассылки (MULTICAST) в том, что она позволяет нескольким получателям принимать сообщения БЕЗ передачи сообщений каждому хосту BROADCAST домена. MULTICAST подобна почтовой рассылке: пользователь или приложение ПОДПИСЫВАЮТСЯ на определенную группу многоадресной рассылки. Если хост не подписан на группу, он не обрабатывает пакеты, ей адресованные. В BROADCAST коммуникации имеется глобальный адрес (255.255.255.255), на который отвечают все узлы. Многоадресная рассылка применяет адреса, на которые отвечают лишь некоторые узлы (которых подписали). Область MULTICAST охватывает адреса 224.0.0.0 – 239.255.255.255 . Управляется протоколами IGMP (Internet Group Management Protocol – есть несколько версий) и CGMP (CISCO Group Management Protocol – работает только на оборудовании CISCO).

Зачем нужна фильтрация широковещательного трафика? Как уже было сказано, broadcast и multicast пакеты получают все компьютеры в сети и соответственно на каждый пакет тратиться время на коммутаторах чтобы его переслать и на каждом компьютере на обработку этого пакета. При нормальном режиме это не вызывает каких либо проблем, но в последнее время появились вирусы, т.н. черви (worms) , которые после заражения машины начинают искать другие хосты в сети, которые можно заразить, и делают это, рассылая broadcast или multicast пакеты со скоростью до 10000 в минуту. Несколько таких зараженных машин в сети достаточно, чтобы существенно понизить общую пропускную способность.

Лимит широковещательного трафика по Калуге - 10 фреймов в секунду, за превышение лимита порт на свитче сначала кладётся на сутки, потом перманентно (разблокировка происходит только после звонка в компанию).

Итак. Что же может быть причиной генерации широковещательного трафика?

1. Основная и самая частая причина флуда - вирусы.
2. В windows vista причиной multicast шторма может быть активный IPv6 протокол. Его необходимо отключать.
3. Кроме того, причиной флуда могут служить компьютерные игры :

-Command & Conquer 3

-Dungeon Siege

-Armed Assault

-Left for Dead (Решение проблемы находится на форуме homenet.corbina.net в разделе: "Домашний интернет Corbina telecom - форумы > Игровые ресурсы. Кураторы подраздела: Warhead и Barmaley > Online игры > Игровой Портал >Новинки")


А также:

1. NetBIOS-трафик. Основной источник флуда в сети и инициатор лавинных ARP-запросов. По поводу отключения см. здесь: http://virusinfo.info/showthread.php?t=4243

2. Сервисы SSDP (UPnP) и IGMP иногда анонсируют себя в сети. Клиенты этих сервисов также применяют multicast для поиска серверов. Периодичности не заметил, скорее всего работают по запросу приложений верхних уровней, например, клиентов с поддержкой UPnP.

3. P2P-клиенты могут искать пиров в локальной сети при определённых обстоятельствах. Например, uTorrent при отключенном VPN каждые 5 минут высылает пачкой N запросов, где N - число запущенных торрентов: BT-SEARCH * HTTP/1.1 Host: 239.192.152.143:6771 Вызывает Multicast storm на порту.

4. IPX. Иногда встречается в сети. Протокол имеет репутацию засирателя локальных сетей.

5. Сервис Bonjour, устанавливаемый с некоторыми продуктами Adobe. Стреляет мультикастами на 224.0.0.251 при инициализации интерфейсов. Судя по отзывам пользователей, вызывает блокировки за Multicast flood.

6. Одноранговые сетевые чаты и файлообменники типа Vypress Chat. Работают на UDP поверх multicast'а или broadcast'а.

7. Некоторые кривые сетевые карты и их драйверы (отличный пример - USB сетевая D-link DUB-E100 )


Меня заблокировали! Что делать?

Симптомы при блокировке порта очень простые: ОС пишет "сетевой кабель не подключен", т.е. происходит тоже самое что и при обрыве кабеля. Узнать в чем же собственно проблема можно только позвонив по 555-000, где оператор сможет сразу определить источник неисправности (ну а если не сможет - определит инженер тех. поддержки). Узнав что вы заблокированы - не надо беситься и истекать слюнями, никому ничего доказать не удастся (см. договор: (Условия предоставления услуги) п.1.2 :

- действия, направленные на получение несанкционированного доступа или нарушение нормального функционирования сетей передачи данных, телематических служб, телефонной сети, их элементов, а так же компьютеров, другого оборудования или программного обеспечения, не принадлежащего Заказчику

- публиковать или передавать информацию или программное обеспечение, которое содержит в себе компьютерные "вирусы" или способно нарушить нормальную работу компьютеров, не принадлежащих Заказчику; "

и п.1.3.

Заказчик обязан принять все меры, для обеспечения корректной настройки и эксплуатации своего программного и аппаратного обеспечения с тем, чтобы не допускать несанкционированного или противоречащего настоящим Условиям использования ресурсов Заказчика третьими лицами и организациями. В частности, Заказчик обязан своевременно проводить профилактику компьютерных "вирусов".

Так что же надо сделать что б вас разблокировали?

1. Если вы знаете за что вам положило порт - сразу же изложить оператору свою версию
2. Если не знаете - нужно проверить систему антивирусом с максимально свежими сигнатурами и только после этого звонить с разблокировкой, иначе ваш порт опять окажется заблокированным не пройдёт и пяти минут.
3. В особо редких случаях - проблема может носить физический характер (хотя зачастую решается просто заменой сетевой карты), если есть подозрения на это - нужно просить чтобы вас соединили со специалистом тех. поддержки.

--- Во время звонка нужно обязательно находится возле компьютера, держать его включенным (и с подключенным кабелем).-----