откуда трафик идет

Все остальное

откуда трафик идет

Сообщение orachimary » 23 апр 2009, 09:18

Народ помогите внести ясность в сложившуюся ситуацию.
Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять).
Код: Выделить всё
uname -a
FreeBSD gateway-bord 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Apr  1 14:35:51 YEKST 2009     root@gateway-bord:/usr/obj/usr/src/sys/gateway  i386

У бордера есть 2-а интерфейса:
На первом rl0:
Код: Выделить всё
flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:13:10:0b:a3:d0
        inet 24.115.10.12 netmask 0xfffffffc broadcast 24.115.10.13
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP.

На втором rl1:
Код: Выделить всё
flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:13:10:0b:a3:d1
        inet 143.220.40.1 netmask 0xffffff00 broadcast 143.220.40.255
        inet 143.220.50.1 netmask 0xffffff00 broadcast 143.220.50.255
        inet 143.220.60.1 netmask 0xffffff00 broadcast 143.220.60.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам.

Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема:
Код: Выделить всё
!/bin/sh

        /usr/sbin/ngctl mkpeer rl1: tee lower left
        /usr/sbin/ngctl connect rl1: rl1:lower upper right
        /usr/sbin/ngctl mkpeer rl1:lower one2many left2right many0
        /usr/sbin/ngctl connect rl1:lower.left2right rl1:lower many1 right2left
        /usr/sbin/ngctl name rl1:lower.right2left o2m
        /usr/sbin/ngctl mkpeer o2m: netflow one iface0
        /usr/sbin/ngctl name o2m:one netflow
        /usr/sbin/ngctl mkpeer netflow: hub export one
        /usr/sbin/ngctl name netflow:export netflow0
        /usr/sbin/ngctl mkpeer netflow0: ksocket two inet/dgram/udp
        /usr/sbin/ngctl msg netflow0:two connect inet/(IPбиллинга):9995


Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети.

И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз.
orachimary
новичок
 
Сообщения: 23
Зарегистрирован: 26 мар 2009, 09:44

Re: откуда трафик идет

Сообщение root » 23 апр 2009, 10:43

хм... трафик будет приходить в не зависимости от того пользуются IP или нет
это же внешник... со всеми вытекающими
трафик на нем входящий же
это сканы портов из инета и т.п.
это абсолютно нормальная ситуация для внешнего адреса

что тебя напрягает не очень понимаю
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: откуда трафик идет

Сообщение orachimary » 23 апр 2009, 18:35

Ага действительно, трафик только входящий. Только почему так много от 5 до 7 Мбайт. Посмотрел по другим Ip, которые не используются или которые заблокированы. Получается меньше намного на них от 0.500 до 1 Мбайта.
orachimary
новичок
 
Сообщения: 23
Зарегистрирован: 26 мар 2009, 09:44

Re: откуда трафик идет

Сообщение lehisnoe » 23 апр 2009, 18:59

orachimary писал(а):Ага действительно, трафик только входящий. Только почему так много от 5 до 7 Мбайт.

Зависит от того, где и в кач-ве чего успел клиент "засветить" IP: он мог разрезолвить на него домен, например, 3-го уровня, указать его в кач-ве МХ'a и т.д., а мог просто на каком-нть форуме оставить урл, где в кач-ве адреса выступает IP.

Нужно tcpdump'ить и смотреть структуру трафика на этот IP.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: откуда трафик идет

Сообщение root » 24 апр 2009, 09:06

lehisnoe писал(а):Нужно tcpdump'ить и смотреть структуру трафика на этот IP.

+1

orachimary
если ты собираешь трафик по пакетам, то просто посмотри на какие порты данного IP стучатся
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10